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دليل المسئول التنفيذي لحوكمة تقنية ابمعلومات 


إهداء 
إهداء لأفضل صديقة وزوجةء لويس مولر. 


كانت لويس رفيقتي وشريكى أك من ++ عام واه على مركبنا الشزاعي 
في بحيرة ميشيغان» أو في التزلج في ولاية يوتا أو في أي مكان آخرء أو أثناء زيارة 
المتاحف أو السفر إلى أماكن ممتعة حول العام أو في بستنة الخضروات في الفناء 
الخلفي للمنزل أو مشاركتي إياها في طبخ أكلات من نتاج ما زرعناه. 


دليل المسئول التنفيذي لحوكمة تقنية ا معلومات 0 


قانئمة المحتويات 


العنوان 
مقدمه 531777157101070 
الجزء الأول: مفاهيم حوكمة تقنية المعلومات 101 ER‏ 
الفصل الأول: أهمية حوكمة تقنية المعلومات لجميع المؤسسات a‏ 
الفصل الثاني: المفاهيم الأساسية للحوكمة وقواعد قانون ساربينز أوكسلي ×50 ... 
قانون ساربينز أوكسلي ×80 EE SES‏ 00000 
الباب الأول من قانون ×50: مجلس الإشراف ال محاسبي على الشركات المساهمة ٥۸08‏ .. 
قواعد أخرى لقانون ×50 - الباب الثاني: استقلالية المدقق ............... 53527 
الباب الثالث لقانون ×50: مسؤولية الشركة SEE ARIE ET‏ 
الباب الرابع لقانون ×50: تعزيز حالات الإفصاح عن البيانات اطالية . 206 
ما المقصود بحوكمة تقنية المعلومات 223 NE‏ 
ملاحظات 000001 ز[ز[ز[ز[ز[ز[ز[ز[ز ز [ ز [ 1 1 ز اذ OE‏ 
الفصل الثالث: حوكمة المؤسسات وأدوات الحوكمة وإدارة المخاطر والامتثال ©6180 .. 
الطريق نحو مبادئ فعالة للحوكمة وإدارة المخاطر والامتثال 0150 .......... 95 
أهمية الحوكمة في نموذج 6120 RESEN‏ 2 ةذ 1 1 1 1 01111 
عتضر إذازة اللكاظر اق فوج ©8 و a‏ 
ام 11 2111111111 550 
أهمية ممارسات ومبادئ نموذج G۸٣‏ الفعالة ا 
الجزء الثاني: أطر عمل لدعم حوكمة فعالة لتقنية المعلومات O‏ 
الفصل الرابع: حوكمة تقنية المعلومات ونظم الرقابة الداخلية طبقا للجنة 
امنظمات الراعية (كوسو - ©0095) RASER a‏ 


أهمية أنظمة الرقابة الداخلية الفعالة ولجنة المنظمات الراعية (0050©0) ..... 


دلبل المسئول التنفيذي لحوكمة تقنية المعلومات 


محتويات 


إرشادات متابعة أنظمة الرقابة الداخلية (080ع) . ی TT ma‏ 
تتمة: أهمية الرقابة الداخلية (0050) خم وج عاد امو او اوت A‏ 
ملاحظات ESSERE EER OEE SERA 117111117 EERE‏ 1177 
الفصل الخامس: إطار كوبت (001811))) ومعهد حوكمة تقنية المعلومات ١59  ....‏ 
المقدمة التنفيذية للإطار كوبت sg aa‏ ا NE. u‏ 
اظار الحمل كوت والحوامل اللحركة HO rasa û‏ 
المبدأ الأول لكوبت: إنشاء إطار متكامل لبنية تقنية معلومات SSS‏ ا 
المبداً الثاني لكوبت: دوافع تحقيق قيمة لأصحاب المصلحة توق سود د E‏ 
ليدأ الثالث لكويت: الوقد عن ساق الأعهال . 7 0000 
المبدأ الرابع لكوبت: عناصر تمكين إدارة المخاطر والحوكمة . Ea‏ ا 
المبدأ الخامس لكوبت: هباكل قياس أداء الحوكمة والإدارة ا ONS‏ 
مطابقة عمليات كوبت مع أهداف تقنية المعلومات من خلال الجمع بينهما ٠0#  ....‏ 
استخدام كوبت في بيئة قانون ساربينز أوكسلي (×50) N SSSR‏ 
كوبت ف دائرة الضوء ................ 2 OR TE E‏ 110 
ملاحظات ا يي يي عي يا ع لي ا 
الفصل السادس: إرشادات إطار آيتيل (:1111) وإدارة خدمات تقنية المعلومات ١١۳  ....‏ 
اساسیات آنل E. Ea E o RIS IR ERE EES‏ 
عناصر إستراتيجية الخدمة في ايتل 525 الاسام ا یی ت ف ا 
تصميم الخدمة ف ايتل OOOO E‏ 
عمليات إدارة انتقال الخدمة في ايتل فاا وو ت موسي + VAS‏ 
عمليات تشغيل الخدمة في آيتل کو ھک 53006 ORTE‏ مسي ١8‏ 
حوكمة تقنية اط معلومات وأفضل ممارسات تقديم الخدمة في آيتل .......... raê‏ 1 
ملاحظة لاا NO‏ ل شا ا 


۸ دليل المسئول التنفيذي لحوكمة تقنية المعلومات 


الفصل السابع: معادير حوكمة تقنية المعلومات: أيزو °° وخا د لال!ا FAO**g‏ ين 


معابير الأيزو ٠٠٠١‏ لإدارة الجودة ا ا و 
معابير الأيزو الخاصة بأمن تقنية المعلومات: أيزو ۲۷٠٠۲‏ و ۲۷٠١١‏ ا 
معيار أيزو 786٠٠‏ الخاص بحوكمة تقنية ال معلومات ....... ا 
ملاحظات و ا E ENE‏ 


الفصل الثامن: قضايا حوكمة تقنية المعلومات: إرشادات حول إدارة المخاطر 
وإدارة المخاطر المؤسسية الصادرة عن لجنة المنظمات الراعية (6050© 
ERM‏ واللمجموعة المفتوحة للامتثال والأخلاقيات (0010) .................... 5 
SBE‏ || لقاع م ع SSS‏ 526 
تعريفات إدارة المخاطر المؤسسية وأهدافها الصادرة عن لجنة ال منظمات الراعية 
ERN)‏ 6656) عقن ele cea N ABA‏ 
إطار إدارة المخاطر المؤسسية الصادر عن لجنة المنظمات الراعىة ٤۸ M(‏ 050ع) .. 
أبعات خر ق إطار )£ 0350©( SS‏ 


"الكتاب الأحمر" لنموذج الحوكمة وإدارة المخاطر والامتثال التابع للمجموعة المفتوحة 
للإمتثال والأخلاقيات (610 ٤6‏ ©0)ء وإدارة المخاطرء وحوكمة تقنية المعلومات TN‏ 


الجزء الثالث: أدوات وتقنيات إدارة البنية التحتبة لحوكمة تقنية المعلومات ..... 


الفصل التاسع: حوسبة سحابية وافتراضية وحوسبة محمولة متنقلة ا 
التعرف على الحوسبة السحابية iG‏ 12111 25222001 
نظم تقنية المعلومات وافتراضية إذارة التخزين n‏ 
قضايا حوكمة الهواتف الذكية وأجهزة تقنية المعلومات ا محمولة ................. 
ملاحظة TCT TTT TONITE OTTO TITTY‏ 


دليل المسئول التنفيذي لحوكمة تقنية ا معلومات 


الفصل العاشر: الحوكمة وإدارة أمن تقنية المعلومات وإدارة الاستمرارية ٠۲٣۲  .....‏ 
EN ONE‏ الو ا ا E‏ 
مبادئ أمن تقنية المعلومات ف المؤسسة: المعايير الأمنية المتفق عليها en‏ 25 
أهمية الإستراتيجية الأمنية الفعالة على مستوى المؤسسة O ca‏ 
تخطيط استمرارية تقنية ال معلومات مع ا ا لوو د a‏ ارق 
خطط استمرارية الأعمال وحوكمة تقنية المعلومات و E. aS lk‏ 
ملاحظات EN DROSS SESS EES‏ 
الفصل الحادي عشر: معايير أمن البيانات الخاصة بصناعة بطاقات الدفع 

)۴٣1 255(‏ وقواعد أخرى لحوكمة تقنية المعلومات 1غ 7 PE‏ 
معلومات أساسية عن صناعة بطاقات الدفع وآمن البيانات 1055 201 والمعايير 

الخاصة بها . 59بب-بب-ج ‏ 0 0 2 2 12 ز 1 1ذ1212 1 1 1[ 1 FEN CASSEL‏ 
قانون جرام ليتش بليلي (6142311/1-1.8.8011-8111.7) في القواعد الخاصة 

بحوكمة تقنية اللعلومات ا 0 Pes‏ 
قانون إخضاع التأمين الصحى لقابلية النقل والمحاسبة (111244): العناية 

E O 5ك‎ e O الصحية وأكثر‎ 
ل‎ SSS . ملاحظات‎ 


الفصل الثاني عشر: بيان خدمات تقنية المعلومات: تحقيق قيمة أكبر من 


عمليات تشغيل تقنية ا معلومات . 5222 11 2311155515157 مي عات 
أهمية بيان خدمات تقنية المعلومات NF Saa Gala‏ 
دور بيان الخدمة في تنظيم أعمال مزود خدمات تقنية المعلومات O aes‏ 
محتوى سان خدمات تقنة ال معلومات وسماته الوا او EE‏ 
إدارة سان خدمات تقنية المعلومات Ef esna 18 haaa‏ 


١٠‏ دليل المسئول التنفيذي لحوكمة تقنية المعلومات 


الجزء الرابع: بناء أنظمة حوكمة تقنية معلومات فعالة ومراقبتها ............ 5 
الفصل الثالث عشر: أهمية البنية الموجهة نحو خدمات تقنية المعلومات لنظم 
حوكمة تقنىة ا لعلومات REE ONE OOO OPO‏ 


تطبيقات البنية الموجهة نحو الخدمة (504) وتطبيقات تقنية المعلومات 


VESTN UY ER ET E‏ ا 
حوكمة البنية الموجهة نحو الخدمة وقضايا الرقابة الداخلية وا مخاطر tê‏ 
تخطيط وبناء مخطط تظبيق البنية الموجهة تخو الخدمة وتنفيدة ت 
الثية الموجهة نحو الخدمة وحوكمة تقنية العلومات س کک 
ملاحظات ببب7ببب7---ب-ز0ز[ز ز ؤز 1111111 
الفصل الرابع عشر: إدارة تهيئة ومحفظة تقنية المعلومات ........ 522277 
مفاهيم إدارة تهيئة تقنية المعلومات SS‏ ع 
أفضل ممارسات إطار آيتل الخاصة بإدارة تهيئة تقنية المعلومات ........ ا 
قاغدة اتات إذارة التفيئة (6658): غالبا ما يكون مفهوما ضغنا ..... 5 
إنشاء قاعدة بيانات إدارة التهيئة 01/1108 في اطؤسسة e‏ 
EAS Sb‏ تقد AA‏ سد SSS‏ 


دليل المسئول التنفيذي لحوكمة تقنية ا للعلومات 


E1۳ 


محتويات 


الفصل السادس عشر: قضايا حوكمة تقنية المعلومات: إدارة المشاريع والبرامج ا A‏ 
عملية إدارة المشاريع E FASS SRE‏ 
معايير الدليل المعرفي لإدارة المشاريع 52/178016 20111 ا 
أسلوب آخر لإدارة المشاريع: برنس 2 2 ۴1۸۵ زآز ز ز ز ز ز ز ز ز ERN lie‏ 
محفظة نظم تقنية المعلومات وإدارة البرامج ا RSS‏ لد 
مكتب إدارة البرامج (2210). أحد الموارد القوية للحوكمة و 0 يه A‏ 
إدارة المشاريع ومكتب إدارة البرامج (2210) وحوكمة تقنية ا لمعلومات مك ا 
ملاحظه ا 110000 1 1 0 


الفصل السابع عشر: اتفاقيات مستوى الخدمات (51.45) ومنتدى إدارة 
خدمات تقنية المعلومات (1]50115) وقيمة تقنية المعلومات (121171) 


وتعظيم المتثيارات ققنية المعلوماك aa‏ الاق 
أفضل مماربات إدارة الغدمات طيقا لإظار أجل ومتتدى إدارة خدمات تقترة 

المعلومات (1]51/117) ....... | | |[ | |[ |[ | |[ |[ |[ |[ | | |[ | |[ [ ز[ [ 1 E‏ 
معايير ا مجموعة المفتوحة للامتثال والأخلاقيات 0186© ا ا BS‏ 
قيمة تقنية المعلومات 1١‏ اه۷: تحسين قيمة استثمارات تقنية المعلومات ... oY‏ 
ملاحظات E ESOS E OE PE E CRI HONORS SAR‏ مس ES‏ 
الجزء الخامس: متابعة وقياس حوكمة إدارة المؤسسة ومجلس الإدارة ........... 0٥٤۷‏ 
الفضل الثامن غشر: إذارة فحتوق اللؤسسة د لسسع 86 
خصائص إدارة المحتوى المؤسسي ومكوناتها الرئيسية في المؤسسة اليوم .... بوي 682 
عمليات إدارة المحتوى المؤسسي وحوكمة تقنية ا معلومات 1 اا د 
خلق بيئة فعالة لنظام إدارة المحتوى المؤسسي في المؤسسة GGG‏ لاه 
الفصل التاسع عشر: دور التدقيق الداخلي في الحوكمة .................................. 010 
تاريخ التدقيق الداخلي ومعلوهات أساسية عتا سمس ا 


التدقيق الداخلي ومدقق تقنية اممعلومات GS n.‏ 
أنشطة التدقيق الداخلي ومسئولياته المرتبطة بحوكمة تقنية المعلومات .... 
معايير التدقيق الداخلي الخاصة بحوكمة تقنية المعلومات RE AS‏ 
إجراءات التدقيق الداخلي الخاصة بحوكمة تقنية المعلومات ..... 0521 
ملاحظة 0000 | [|[|[|[|[|[|[ظ[ظزذزذزذز[22122111 
الجزء السادس: حوكمة تقنية المعلومات وأهداف المؤسسة 277 
الفصل العشرون: بناء ثقافة أخلاقية في محل العمل والحفاظ عليها .. 2-5 
أهمية بيانات المهمة (الرسالة) [ |[ |[ [|[ز[[ |[ [ز[ز [ز[ [ [ [ [ [ [ 1[ 1 1 O‏ 
ESEN AES‏ المي SEAN RS‏ 
الميلغون عن الطلخالفات وإذارات الخط الساخن هه 
إطلاق برنامج أخلاقيات العمل وتحسين ممارسات الحوكمة المؤسسية ا 
ملاحظة ARREARS‏ اع ااا ا ل 
الفصل الحادي والعشرون: تأثير حوسبة وسائل التواصل الاجتماعي م 
ما المقصود بحوسبة وسائل التواضل الاجتماعي؟ مم 5 
أفثلة عل رمال التواضل لامها موو ee‏ 
نقاط ضعف حوسبة وسائل التواصل الاجتماعى ف المؤسسة ومخاطرها .... 
ملاحظات SpE Sika PE ih 1 1 1 1 1 1 [| | aaa LA Celia ate‏ 


الفصل الثاني والعشرون: حوكمة تقنية المعلومات ودور لجنة تدقيق تقنية المعلومات 


لجنة التدقيق التابعة للمؤسسة وحوكمة تقنية المعلومات ماح ا 
مسؤوليات لجنة التدقيق تجاه حوكمه تقنيه المعلومات E‏ 
اجتماعات لحنةه التدقيق وقضايا حوكمه تقنية المعلومات EOE‏ 
نىدة عن الولف O RASS O SA SS‏ 
المترجم في سطور Gelak a a a aa aa a‏ 


دلبل المسئول التنفيذي لحوكمة تقنية ا لمعلومات 


TET 


ITT 


1 


a 


مقدمة 


في ظل الظروف الاقتصادية الدائمة التغير التي يشهدها عام اليوم والأنشطة التنظيمية 
المتزايدة: تصبح الحوكمة ذات أهمية متزايدة لجميع الشركات على اختلاف أحجامهاء سواء 
كانت e‏ قطاع عام غير ربحية أو كيانات خاصة. وتتكون مفاهيم حوكمة المؤسسات 
من سلسلة من مجالات واسعة تغطي أنشطة المؤسسة التي تبدأ بالمساءلة الإدارية وإدارة 
المسئوليات الائتمانية تجاه عملائها وموظفيها ومنظميها وغيرهم من أصحاب المصالح جميعهم. 
ويتطلب ذلك تطبيق عدد من الإرشادات والبرامج لضمان نزاهة الإجراءات الإدارية ة وحمابة 
المؤسسة هق اللمارسات المخالفة والفعمالية. كما ته عمل عوكمة الؤسسة أنضا على عمليات 
الإدارة وسياساتها التى تعزز الكفاءة الإستراتيجية والاقتصادية للمؤسسة. وتتضمن إدارة الكفاءة 
الاقتصادية للمؤسسة الكيفية التي من خلالها ينوي نظام الحوكمة لديها تحسين النتائج وتحقيق 
الأهداف المرجوة. كما بدعو تعزيز الكفاءة الإستراتيجية للمؤسسة إلى تعزيز أهداف سياسة عامة 
للمؤسسة وإرسائهاء تلك الأهداف التي لا تقاس دائها من المنظور الاقتصادي مباشرة لكنها تشتمل 
على أمور مثل وضع برنامج أخلاقيات مؤسسية قوي وتحسين الجودة ورفاهية الموظفين. 

ومن الطبيعي أن تحتاج الحوكمة المؤسسية الفعالة إلى مهارات إدارية قوية لاتخاذ 
قرارات مهمة وتشكيل القيادة. كما تحتاج وبشكل كبير إلى نظم وعمليات تقنية المعلومات 
على وجه الخصوص. ويمثل هذا المجال المهم» حوكمة تقنية المعلومات» الموضوع الشامل 
لهذا الدليل التنفيذي. 

وفي الأيام الأولى لعمليات تقنية المعلومات ونظمهاء كانت الإدارة العليا للعمليات 
التشغيلية غالبا ما توكل عمليات كثيرة من عمليات تقنية المعلومات للمتخصصين المسؤولين 
عن بناء موارد تقنية ا معلومات في المؤسسة وتشغيلها وصيانتها. وبينما كثر الحديث وقتها 
عق ا إشراك الإدارة ومستخدمي نظم تقنية المعلومات مع متخصصي ومطوري موارد 
تقنة ای ليور فإن إدارة العمليات كانت تتعرض دائها لخيبات لعل قاطبادرات الجديدة 

لتقنية المعلومات وقتها م تحقق في الغالب أهدافها المرجوة المعتمدة أو حققتها في وقت 

با أو احتوت على نقاط ضعف ف أمن المعلومات والرقابة الداخلية: أو أنها لم تعد 
مطلوبة إما بسبب سوء التخطيط أو تقديرات احتياجات الإدارة. ولتحسين تلك الأمور اليو 
تظهر الحاجة إلى عمليات أفضل لإدارة وتنسيق جميع جوانب موارد تقنية المعلومات في 
المؤسسة» أي الحاجة إلى حوكمة تقنية ا لمعلومات. 
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هذا الكتاب هو دليل للسلطة التنفيذية يتناول هذا المفهوم المهم لحوكمة تقنية 
المعلومات. ولا نركز هنا على قيام متخصصي تقنيه المعلومات بتركيب معدات هاردوير 
وبرمجيات وتوصيلات شبكات خاصة بتقنية المعلومات» ولا على الموارد المهمة مثل المدققين 
الداخليين الذين يختبرون عمليات تقنيه ال معلومات ويراجعونها. لكننا نركز على السلطة 
التنفيذية في المّسسة التي يكون لديها بعض الفهم لعمليات تقنية ال معلومات؛ لكنها تكون 
مهتمة أكثر معرفة المزيد عن القضايا والعمليات الضرورية اليد في إدارة موارد وأنظمة 
تقنية المعلومات بكفاءة وكذلك الاستفادة منها في بيئة اليوم المتصلة بالإنترنت. 


ويهدف هذا الكتاب إلى تقديم معلومات أساسية عالية المستوى عن نوع من القضايا 
المتعلقة بحوكمة تقنية المعلومات التي تعتبر مهمة لمؤسسات الأعمال وللمدير التنفيذي 
اليوم. ونأمل أن نزود الجهة التنفيذية في المؤسسة بمعلومات عامة وكافية تتمكن من خلالها 
من تكوين فهم أكبر عن قضايا حوكمة تقنية المعلومات المهمة هذه الأيام ولتكون قادرة 
أيضا على طرح أسغلة أفضل لتحقيق فهم أكر لهذه القضانا ولاتخاذ قرارات فعالة فيما 
يتعلق بمسائل حوكمة تقنية المعلومات تلك. فعلى سبيل المثال: نشير اليوم في كثير من 
الأحبان ق أدبيات الأعمال المجارية إلى ماع الحوسمة السحاسة „(Cloud Computing)‏ 
وسيقدم لنا الفصل التاسع كلو اة عن الحوسبة الشحابية وسيب أهمبتها في حوكمة 
تقنية المعلومات الفعالة. وبا مثلء سنقدم مفهوم اتفاقيات مستوى الخدمة (51.45): وهي 
عادة عقود غير رسمية نرم بين مستخدمي أو أصحاب موارد تقنية المعلومات وإدارة تقنية 
المعلومات. وهدفنا هنا هو مساعدة السلطة التنفيذية في المؤسسة ليكون لديها فهم أكبر 
عن سبب أهمية اتفاقيات مستوى الخدمة وكيفية تبنيها في المؤسسات وإدارتها على اختلاف 
أحجامها وأنواعهاء وكيف يكن استخدامها لتحسين عمليات حوكمة تقنية المعلومات. 

وقد ليت فصول هذا الككاب السعة مواضيع أو أغواة:رفيسية. كل جو من هذه 
الأجزاء والفصول التي يحتويها يعتبر وحدة متكاملة في العموم» ويلخص قضايا حوكمة 
تقنية المعلومات التي تخص هذا الجزء. ونأمل أن تتمكن من خدمة الجهة التنفيذية 
بالمؤسسه من خلال تزويدها بمعلومات كافية عاليه المستوى لفهم كل من قضايا حوكمه 
تقنية المعلومات تلك ومفاهيمها. 
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الجزء الأول: مفاهيم حوكمة تقنية المعلومات: 

تزودنا فصول هذا الجزء بمقدمة شاملة عن مفهوم حوكمة تقنية المعلومات وكيفية 
قبا عق مؤسمات الأغيال عموماء مهل فواره ثقنية اعمات ليذه اللقسسات لاعفا 
ويحتوىي هذا الجزء على فضل ضف أهمية قواعد قانون سارسنز نز أوكساي Sarbanes-)‏ 
Act )SOx) rules‏ eyا0x)‏ وتأثيرها بوصفها مجموعة من التشريعات تحوي القواعد 
العامة لضبط المؤسسات المالية وغيرها من نظم الرقابة الداخلية التى وضعت للمرة الأولى 
ف اواد المتحدة بدايات هذا القرن: أما الآن فهي مستخدمة تقريباً في جميع أنحاء 
العالم. ويختتم هذا الجزء بفصل يشرح قضايا شاملة لنظام الحوكمة والمخاطر والامتثال 
وهي ما تعرف بقضايا جي آر سي »)6G۸٤(‏ وهو مفهوم مهم ومصطلح شائع في العديد من 
النقاشات الإدارية في مؤسسات اليوم. 


الجزء الثاني: أطر عمل لدعم حوكمة فعالة لتقنية المعلومات: 
بالإضافة إلى المعايير والمفاهيم القيمة لحوكمة تقنية المعلومات» تحتاج الجهة التنفيذية 
في المؤسسة لفهم بعض أطر العمل المهمة لحوكمة تقنية المعلومات وحوكمة المؤسسة 
بكاملها. كما يحتوي هذا الجزء على فصل يقدم بلحة أو نظرة عامة عن إطار الرقابة 
الداخلية للجنة المنظمات الراعية (050©0©) ويوضح سبب أهمية هذا الإطار بالنسبة 
لحوكمة فعالة لتقنية المعلومات. ويحتوي هذا الجزء أيضا على فصل يقدم لمحة أو نظرة 
عامة ومقدمة عن أهداف ضوابط ال معلومات والتقنيات ذات الصلة وهو ما يعرف مصطلح 
كوبت (00811)): كما يدعم هذا الفصل توجيهات صادرة من معهد حوكمة تقنية 
المعلومات. وبمثل كل من ذلك مفاهيم مهمة ف الرقابة الداخليةء ويجب أن يكون المسئول 
التنفيذي ق المؤسسة درك لتلك المفاهيم ولسبب أهميتها في حوكمة تقنية المعلومات. 
ويحتوي هذا الجزء أيضاً على فصل يقدم مفهوما مهما آخر في حوكمة تقنية المعلومات, 
يعرف مكتية البنية التحتية لتقنية المعلومات آبتل (1111)..وهو عبارة عن المواد الإرشادية 
لأفضل ممارسات إدارة جميع جوانب موارد تقنية المعلومات ق المؤسسة. وسيتناول هذا 
الفصل أا منتدى إدارة خدمة تقنية ا ملعلومات بوصفه فرتبظأ بمكتبة البنيه التحتية لتقنية 
العلومات: هذا اللنتدى الذي يعد منظمة احترافية هامة تقدم دليلاً إرشاديا لحوكمة تقنية 
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ا معلومات. ويجب على المسئول التنفيذي بام مؤسسة الذي يضطلع مسئوليات إدارة عمليات 
تقنية المعلومات أن يتمتع بمستوى فهم جيد لتلك المواد الإرشادية واستخداماتها في إحدى 
إدارات تقنية المعلومات وكيفية دعمها لحوكمة تقنية المعلومات لتكون أكثر كفاءة. 

كما تقدم فصول الجزء الأول من هذا الكتاب إطارين مهمين في حوكمة تقنية 
اللات أولة تناق عة معاير أيرو ( 21180 العالة المعانيه ومسموعة 
من ال مواد الإرشادية المهمة لحوكمة تقنية المعلومات. وسنقدم أيضاً ما يعرف ب )0٥٤6(‏ 
أو المجموعة المفتوحة للامتثال والأخلاقيات ومجموعة من إرشادات إدارة االمخاطر. ولايد 
هنا من فهم كل من معايير الأيزو لحوكمة تقنية المعلومات والمجموعة ال مفتوحة للامتثال 
والأخلاقيات )0©٤6(‏ لتنفيذ ممارسات حوكمة فعالة لتقنية المعلومات. ومن المفترض 
أن تساعد هذه الأطر مدير الشركة على فهم بعض قضايا حوكمة تقنية المعلومات الهامة. 


الجزء الثالث: أدوات وتقنيات إدارة البنية التحتية لحوكمة تقننة المعلومات: 

تشمل البنية التحتية لتقنية المعلومات جميع الأشخاص والوارد اللازمة لتشغيل تقنية 
المعلومات ف المؤسسة: وإدارتهاء متضمناً ذلك أجهزة الخوادم وأخصان أمن تقنية المعلومات 
وجميع الأشخاص وال معدات اللازمة لإدارة شبكة الاتصالات. ويناقش فصل في هذا الجزء 
العديد من التقنيات الأحدث والمهمة التي تتحكم في تغير عالم تقنية المعلومات اليوم: 
مثل مفاهيم الحوسبة السحابية ومفهوم الافتراضية. وسنتحدث عن هذه المفاهيم وقضايا 
أخرى ذات صلةء كما سنناقش سبب أهميتها لحوكمة تقنية المعلومات. 


وتتعرض البنى التحتية لتقنية المعلومات لنوعية من التهديدات على مستوى الأمن 
والسلامة» مثل تعرضها لهجوم غير متوقع من إحدى البرامج التخريبية أو عدم القدرة على 
استعادة الأعمال بسبب قصور في أنظمة النسخ الاحتياطي أو انتهاكات كلمات المرور مما 
يسبب اختراق البيانات السرية. ويوجد فصل هنا يتحدث عن قضايا مهمة لكفاءة حوكمة 
تقنية المعلومات» وهي قضايا تخطيط أمن تقنية المعلومات واستمراريتها. كما يوجد فصل 
آخر هنا يتناول ا القواعد والأنظمة الأمنة لتقننة المعلومات الأكثر أهمية لتأسيس 
حوكمة تقنية معلومات ذات كفاءة عالية ف المؤسسة. 
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ثم ننهي هذا الجزء بفصل يتناول أساليب تحقيق قيمة أكبر لعمليات تقنية المعلومات 
التي يجب أن تتضمن عمليات ثدار وثراقب بشكل جيد وعمليات تقنية معلومات ذات 
كفاءة وجدوى اقتصادية. ويجب على الإدارة بجميع مستوياتها أن تتمتع بمستوى فهم عام 
لآلية تطبيق هذه القضايا والاستفادة منها. وسيطرح هذا الفضل أيضا بعض التوجيهات 
من وجهة نظر إدارة تقنية ا معلومات. 


الجزء الرابع: بناء أنظمة حوكمة تقنية معلومات فعالة ومراقبتها: 

بالإضافة إلى أدوات وعمليات البنية الأساسية لتقنية المعلومات التي ذكرت في الجزء 
السابقء فإن فصول هذا الجزء تناقش طرق بناء عمليات حوكمة تقنية معلومات فعالة في 
النظم والتطبيقات التي تتبناها المئؤسسات. ويتناول أحد الفصول هنا بشكل خاص أهمية 
ما تعرف عموماً بأنها البنية الموجهة نحو الخدمة (504). وهي الطريقة الأكثر شيوعاً 
واستخداما اليوم لبناء تطبيقات جديدة وتنفيذهاء تلك التطبيقات التي تمثل عمليات 
مختلفة تماما عن العمليات التقليدية القدهة المتبعة مسبقا في تطوير التطبيقات. وتتناول 
الفصول الأخرى في هذا الجزء قضايا حوكمة تقنية المعلومات اللازمة لإدارة الأنظمة وتغيرات 
العمليات وضوابط المراجعة بالإضافة إلى الحديث عن الطرق المستخدمة في تطبيق النظم 
المتكاملة التي تقدم وکو لعمليات تقنية المعلومات وإدارة لها بشكل أفضل. 

ويوجد فصل في هذا الجزء يتحدث عن الأدوات والوسائل ال مستخدمة في إدارة المشاريع 
والبرامج. ويجب أن تدرك الإدارة بمختلف مستوياتها أهمية وقيمة كل من الإدارة الجيدة 
للمشاريع ووسائل الرقابة المستخدمة لتعزيز عمليات حوكمة تقنية ا معلومات. ويآأقٍ 
الفصل الأخير في هذا الجزء ليتحدث عن اتفاقيات مستوى الخدمة» حيث يتناول معايير 
ومقاييس الأداء الرسمية بين موارد تقنية المعلومات ومستخدميهاء وهي إحدى الأدوات 
المهمة للغاية لحوكمة تقنية المعلومات. 


الجزء الخامس: متابعة وقباس حوكمة إدارة المؤسسة ومجلس الإدارة: 
ركزت معظم الفصول السابقة على تمكين المسئول التنفيذي لتقنية المعلومات من فهم 
وتنفيذ عمليات حوكمة تقنية المعلومات الفعالة في عمليات تقنية المعلومات بالمؤوسسة 
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وأنظمتها. آما فصول هذا الجزء فتركز على دور التدقيق الداخلي في المؤسسة. حيث يحتوي 
هذا الجزء على فصل يوضح أهمية التدقيق الداخلي لحوكمة تقنية المعلومات. 

كما يحتوي هذا الجزء أيضا على فصل يتناول طرق إدارة الوثائق من منظور المسئول 
التنفيذي لتقنية المعلومات متضمنا أهمية قضايا حفظ محتوى البيانات وإدارتها. 


الجزء السادس: حوكمة تقنية المعلومات وأهداف المؤسسة: 

يركز هذا الجزء الأخير من كتابنا على بعض الإرشادات لوضع ثقافة أخلاقية في بيثة 
العمل ومواصلة العمل بمقتضاهاء الأمر الذي يمكن اعتباره من العناصر الهامة في حوكمة 
تقنية المعلومات. كما يحتوي هذا الجزء على فصل يتحدث عن أهمية تطبيقات حوسبة 
شبكة التواصل الاجتماعي - كثيرة الاستخدام هذه الأيام كفيس بوك مثلاً - ومدى تأثيرها 
في حوكمة تقنية المعلومات. أما الفصل الأخير من هذا الكتاب فيحتوي على توجيهات 
حول كيفية استخدام حوكمة تقنية المعلومات لتحقيق القيمة المرجوة من استخدام تقنية 
المعلومات. 

ركزت هذه الفصول على حاجات الإدارة التنفيذية العليا للمؤسسة واهتماماتها. وسنبدأً 
كل فصل من الفصول التالية بالحديث عن أهمية عنوان الفصل من منظور حوكمة تقنية 
المعلومات. ثم سنتحدث عن أدوات ووسائل تنفيذ عمليات حوكمة معينة وطرق قياس 
مدى نجاحها. وبالإضافة إلى هذه الفصول المخصصة للحديث عن الموضوعات المحددة التي 
أشرنا إليهاء فإن هناك فصولا أخرى ستتناول بالشرح عناصر مهمة من عمليات إدارة خدمة 
تقنية المعلومات وكوبت (001811)) وآيتل (,1111). كما سنحاول الربط بين جميع القضايا 
الخاصة بحوكمة تقنية المعلومات وبين الضوابط والمخاوف العامة لحوكمة المؤسسة. 

إن الهدف العام من هذا الكتاب ليتمثل في مساعدة كبار مديري المؤسسات على 
فهم أهمية قضايا حوكمة تقنية المعلومات بشكل أفضل وعلى تطبيقها في مؤسساتهم: 
لتكون نتيجة ذلك الوصول إلى نظم وعمليات أقوى لكل من تقنية المعلومات والمؤسسة 
بكاملها. 
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الجزء الأول 


۲۲ 


الفصل الأول 


أهمية حوكمة تقنية المعلومات لجميع المؤسسات 


كان الظهور الأول لتطبيقات تقنية المعلومات والحاسبات بشكل أساسي في عام 
الأعمال مطلع ستينيات القرن العشرين في الولايات المتحدة وأوروبا. فقد كانت وقتها 
تقنية أعمال جديدة صاحبها قيام العديد من الشركات بتقديم عروض تنافسية لمنتجاتها 
من ال معدات الحاسوبية والبرمجيات للشركات الرئيسية الكبرى ذلك الوقت. وقد سارعت 
الشركات على اختلاف مستوياتها لمواكبة تلك التقنية الحديثةء فضلا عن الاستثمارات 
الضخمة التي خصصت لتثبيت نظم جديدة وتوظيف مبرمجين ومحللين لبنائها وإطلاقها 
وتدريبهم على ذلك. وعلى الرغم من وقوع بعض الإخفاقات على طول الطريق» 
فإننا جميعاء وف هذه الأيام نستخدم تلك النوغيات من المنتجات البرمجية والمعدات 
الحاسوبية ونستفيد منها. 


واليوم نجد أن نظم تقنية المعلومات المدعمة بتقنيات دائمة التغير والتطور تعد بمثابة 
العنضر الأساسي في الغالب لجميع أنشطة الأعمال. ومع ذلك نجد أن أنشطة تقنية 
المعلومات التي نمارسها ليست مدعمة ببعض من العابير والإجراءات نفسها الموجودة 
في مجالات أعمال أخرى. فعلى سبيل المثال يتم دعم نظم المحاسبة والمعايير المالية من 
خلال مبادئ محاسبية متعارف عليها يقوم بمراجعتها مدققون مستقلون: فضلا عن أنها 
تخضع لقواعد محاسبة مالية حكومية كقواعد هينة الأوراق المالية والبورصة في الولايات 
المتحدة الأمريكية. كما توجد قواعد مشابهة لأفضل الممارسات وال معايير الخاصة مجالات 
أنشطة أعمال أخرى كما هو الحال في كثير من مجالات التسويق ومراقبة الجودة. وليس 
هذا هو حال عمليات تقنية المعلومات ونظمها. وعلى الرغم من حقيقة أن عمليات 
تقنية المعلومات تواجه هذه الآونة متطلبات متزايدة فيما يخص الامتثال المهني والحكومي 
فضلاً عن تعرضها لكم هائل من مخاطر النظم المرتبطة بذلك» فإن الحاجة مستمرة لتبني 
ممارسات أفضل في حوكمة تقنية المعلومات هذه الأيام. 


دليل المسئول التنفيذي لحوكمة تقنية المعلومات ۳ 


الفصل الأول 


كان مفهوم حوكمة تقنية ا معلومات مجهولا إلى حد كبير لعدة سنوات قليلة مضث. 
فقد كنا نرى حوكمة المؤسسات من منظور الأدوار والأنشطة التي تقوم بها الإدارة العليا 
ومجلس الإدارةء في حين كنا لا نرى إدارات تقنية المعلومات في هذه المؤسسات القديمة 
إلافي شكل إدارات دعم فني مهمة للغاية وليست أنشطة رئيسية للأعمال. لقد تغير 
حقا مفهومنا العام حول حوكمة المؤسسات ف الولايات المتحدة في السنوات الأولى من 
القرن الحاليء وذلك بعد الإخفاق الذي تعرضت له إحدى كبرى الشركات الأمريكية والتي 
تدعى إنرون (87102). الأمر الذي فاجاً الجميع وم يكن متوقعا على الإطلاق لدرجة قيام 
الهينات التنظيمية الحكومية في الولايات المتحدة بإجراء تحقيق في هذا الأمر واكتشفت 
غياب العديد من الممارسات المالية وممارسات حوكمة الشركات. الأمر الذي أدق إلى فقرض 
قانون ساربينز أوكسلي [ [502<0) ]Sarbanes-Oxley‏ في الولايات المتحدة الأمريكية. وقد 
كان لهذه القواعد التشريعية الأثر الرئيسي على الممارسات المتعلقة بإعداد التقارير المالية 
وحوكمة الشركات» وذلك ف الولايات المتحدة الأمريكية أولا وبعدها في جميع أرجاء العا 
وقد كان لقانون ساربينز أوكسلي أيضا دور رئيسي فيما يتعلق بالحاجة لحوكمة تقنية 
المعلومات بشكل فعال. 


وف هذه الاونة يفكر كبار المديرين ومديرو تقنية المعلومات والممارسون في حوكمة 
تقنية المعلومات بطرق عديدة غير أنها مختلفةء إذ يرى البعض حوكمة تقنية المعلومات 
على أنها قواعد "قبادة وسيطرة" على مبادرات تقنية المعلوماتء وأن واضعي تلك القواعد 
هم مدققون داخليون ومديرون تنفيذيون غير تقنيين ومستشارون خارجيون؛ في حين 
يراها آخرون مجرد آلية تستخدمها المؤسسة لتطبيق نهج الأخ الأكبر بفرض قيود تنازلية 
10p-Down Constraints‏ على جميع أنشطة تقنية المعلومات. أما من منظور ممارس 
تقنية المعلومات الذي يبني النظم ويديرها بهدفٍ تحسين إنتاجية الأعمالء فإننا نجد 
ااا أن حوكمة تقنية ا معلومات تبدو وكأنها شّ لا ضرورة له يعيق النواحى الإبداعية 
والإنتاجية المرتبطة بتقنية المعلومات ق المؤسسات. على كل حالء فإن کی تقنية 
المعلومات لا تتحكم ف إدارة الشركة وإداراتها التقنية من خلال فرض لوائح ومعايير 
وسياسات صارمة» لكن الحوكمة الجيدة لتقنية المعلومات في المقابل لا تعدو إلا أن تكون 
مجموعة من السياسات وأفضل ال ممارسات التي يلزم أن تعمل باعتبارها قوة إستراتيجية 


۲€ دليل المسئول التنفيذي لحوكمة تقنية المعلومات 


أهمية حوكمة تقنية المعلومات لجميع المؤسسات 


تجعل من الممكن تحسن العمليات التشغيلية للأعمالء وبتلك الصورة لحوكمة تقنية 
المعلومات نجد جميع المؤسسات بكل مستوياتها تتبناهاء بل نراها تتجاوز حدود عمليات 
تقنية ا معلومات المؤّسسية. 


وتتميز الحوكمة الجيدة لتقنية المعلومات بالتوافق مع ا مؤسسة بشكل إستراتيجي لدعم 
تطوير بنية تقنية معلومات تقدم قيمة مؤسسية مناسبة يمكن تعظيمها. تساعد حوكمة 
تقنية المعلومات في قياس نمو الأعمال ونجاحها وكذلك قياس صحتها المالية. تقدم الفصول 
التالية من هذا الكتاب نظرة جديدة وشاملة لحوكمة تقنية المعلومات والتي تتناول معايير 
أداء الأعمال المؤسسية الجوهرية إلى جانب العوامل المهمة للالتزام بالامتثال وإدارة المخاطر. 
ونظراً لأن الفصول التالية ستناقش جوانب مهمة لكل من تلك العوامل؛ فإننا سنشير إلى 
الحوكمة وال مخاطر والامتثال بهذا الاختصار (61100) وهي مجموع الحرف الأول لكل كلمة. 
وهو المصطلح الشائع استخدامه هذه الأيام في المطبوعات المتعلقة بالأعمال. 

تبين حوكمة تقنية ا لمعلومات الطريق الذي من خلاله تتمكن المؤسسة من تقديم 
قدرات أعمال لإنجاز مهام حرجة» وذلك باستخدام إستراتيجيات تقنية المعلومات وأهدافها 
وغاياتها. كما تهتم حوكمة تقنية المعلومات بتحقيق التوافق الإستراتيجي بين أهداف 
الأعمال وغاياتها من جهة واستغلال موارد تقنية المعلومات لديها من جهة أخرى لتحقيق 
النتائج المرجوة بكفاءة. يبين الشكل التوضيحي )١-١(‏ هذا المفهوم لحوكمة تقنية المعلومات 
وكيفية توافقه مع جميع إستراتيجيات اللؤسسة. 

على الرغم من أن الشكل التوضيحي )1١(‏ عام جدا إلا أنه يعرض مفاهيم حوكمة 
تقنية المعلومات - موضوع هذا الكتاب -في الوسط لتكون ضمن الإستراتيجيات والعمليات 
الشاملة للمؤسسة؛ وهو مفهوم أساسي دائما يجب أخذه في الحسبان. وفي كثير من الأحيان 
قد يرى مدير تقنية معلومات متسلط أن آفكاره لتحسين نظم تقنية ال معلومات وعملياتها 
وإدارتها تتجاوز في أهميتها غالبا الأنشطة الأخرى للمؤسسة: ولذا يجب علينا دائما أن نعي 
أنه على الرغم من الأهمية القصوى لعمليات تشغيل تقنية المعلومات بالنسبة لجميع 
أعمال المؤسسة في كثير من الأحيانء فإنه يجب أن تنسجم تلك العمليات مع جميع أنشطة 
المؤسسة وإستراتيجياتها. وعلى الرغم من ان مدير إدارة تقنية المعلومات او الرئيس 


دلبل المسئول التنفيذى لحوكمة تقنية اا معلومات ro‏ 


الفصل الأول 


التنفيذي للمعلومات (10©) 0113661 Chief Information‏ ؛ قد يشعر بأن لديه المقترح 
الأصلح لعمل بعض التغييرات أو التحسينات في عمليات تقنية المعلومات؛ فإن هذا المقترح 
يجب أن يكون نافعا لباقي أنشطة المؤسسة. فعلى سبيل ال مثال» قد يدرك الرئيس التنفيذي 
للمعلومات أهمية إبرام اتفاقيات مستوى الخدمة Service Level Agreements (SLAs)‏ 
أو عقود غير رسمية ما بين مستخدمي تقنية المعلومات ومقدميهاء وهو ما سنتناوله في 
الفضل السابع عشر من هذا الكتاب: باعتبار ذلك وسيلة مناسبة لتحسين عمليات تقنية 
المعلومات وتطويرها. ولكن في حال عدم استحسان هذا المقترح من قبل الإدارة العلياء فإنه 
يجب على الرئيس التنفيذي للمعلومات أن يذعن لتوجه الإدارة العليا ولا يتوقف عن عمل 
تحسينات أخرى كلما أمكن ذلك. 
شكل توضيحي )١-١(‏ 
اجيم حوكمة تقنية المعلومات 
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۲٣‏ دليل المسئول التنفيذي لحوكمة تقنية المعلومات 


أهمية حوكمة تقنية المعلومات لجميع المؤسسات 


ولعل المقصد هنا يتركز في أن البنية المئؤسسية لتقنية ا معلومات هي التي تضع جميع 
قواعد الإطار العام لجميع أنشطة المؤسسة وحوكمة تقنية المعلومات. تقدم لنا الفصول 
التالية من هذا الكتاب عدة مجالات يمكن من خلالها تحسين نظم تقنية المعلومات 
وعملياتها. لكن مع استهداف تحسين حوكمة تقنية ال معلومات في المؤسسة بالكامل يجب 
أن تنسجم تحسينات حوكمة تقنية المعلومات تلك مع الإطار العام لعمليات المؤسسة. 
يشر الجزء الخاص بحوكمة تقنية المعلومات ي الشكل التوضيحي )١-١(‏ إلى سلسلة 
من الأنشطة الأخرىء» يتوافق كل نشاط منها ونا مع موضوعات أحد الفصول الموجزة في 
مقدمة الكتاب والمفصلة في الفصول اللاحقة. وقد حاولنا في هذه الفصول أن نوجز العديد 
من القضايا المهمة لتحسين عوكية تقنية المعلومات» تلك القضايا التي يجب أن ترتبط 


تعمل حوكمة تقنية المعلومات على توزيع السلطة على مختلف طبقات الهياكل 
التنظيمية داخل المؤسسة مع ضمان استخدام تلك السلطة بشكل سليم وحكيم. ولا 
نقصد هنا مجرد الهياكل الهرمية؛ بل يجب علينا دوما أن نتذكر أن الهياكل الشبكية تسمح 
بالتخصصية وتشكيل الفرق وتشكيل بنية تحتية لدعم تلك الفرق. فالتخصصية تسمح 
لمجموع أجزاء المنظمة بأن يكون أكبر من الكل. كما يجب أن نتذكرآن حوكمة تقنية 
الأحلوهاث لست حك | عن اكات الكترف فا وسات الأشفر فمف أيضا إل مارات 
جيدة لحوكمة تقنية ال معلومات. ومع ذلك» يوجد بوضوح عدد أقل من نقاط الرقابة التي 
يلزم توظيفها في عمليات المؤسسات الصغرى في حين أن تركيزنا في فصول هذا الكتاب 
سينصب على اللؤسسات الكبرى. 

عندما نستعرض مفهوم حوكمة تقنية المعلومات كما أوردته الفصول التالية من هذا 
الكتاب» نجد أنها تؤثر في أداء الأعمال وتساعد وبشكل مثالي ال مؤسسة في أن تتفوق على 
منافسيها. ومن الموضوعات الأساسية هنا أن تعرف أن حوكمة تقنية المعلومات هي التي 
تحدد أداء الأعمال وخاصة أداء موارد تقنية ا لعلومات وقت تطبيقها لتحقيق الأهداف 
الإستراتيجية للأعمال. فالحوكمة الجيدة لتقنية المعلومات تؤدى مباشرة إلى إنتاجية أكبر 
وجودة أعلى ونتائج مالية أفضلء في حين أن الحوكمة السيئة لتقنية المعلومات تؤدي غالبا 


دلبل المسئول التنفيذي لحوكمة تقنية ا معلومات ۷ 


الفصل الأول 


إلى إهدار برمجي وبيروقراطية وانخفاض في الروح المعنوية وتدني الأداء المالي بشكل عام. 
ولإشات أهمية الممارسات الجيدة لحوكمة تقنية المعلومات علينا أن ننظر إلى المؤسسات 
التجارية التقليدية التي تنتج السلع والخدمات لعملائها التقليديين» حيث نجد أن هؤلاء 
العملاء عموماً يرون الأعمال فقط عندما يتواصلون مع تلك المؤسسات لتقديم طلباتهم 
للحصول على تلك المنتجات أو على قيمة من خلال بيع تلك المنتجات أو إنتاجها أو لتقديم 
معلومات من خلال ملء الاستبيانات والتحليلات التسويقية. تعد كفاءة العمليات الداخلية 
للأعمال وتنسيقها هي ما تشكل خبرة العملاء مجملهاء وهذا في حد ذاته مجال من مجالات 
أداء الأعمال يجب قياسه وتطويره. وحتى تؤثر حوكمة تقنية المعلومات بشكل إيجابي في 
أداء الأعمال لابد أن تركز على مجمل عمليات الأعمال تلك وتستكشفهاء تلك العمليات التي 
يتفاعل معها العملاء. وفي المقابل نرى أن الحوكمة السيئة لتقنية المعلومات تُخرج اميل 
من نظرها التزاما منها بتطبيق بعض اللوائح والقوانين والمعايير والسياسات المفضلة والمعزولة. 
كما نلحظ في سياق عمليات الأعمال ارا (من النهاية إلى النهاية) أن المكاسب المحلية 
الناتجة من كفاءة العمليات وإنتاجيتها لا تحقق في الغالب النتائج المرجوة. هذا بالإضافة إلى 
أن تطبيق اللوائح الخارجية على عمليات الأعمال الداخلية يجب توضيحه بطرق تؤثر إيجابا في 
تجارب العملاء» ولا يكون مجرد امتثال ظاهري للوائح: إذ إن عمل ما هو خلاف ذلك سيعرض 
المئؤسسة للمخاطر. فالحوكمة الجيدة لتقنية المعلومات هي التي تتناول عمليات الأعمال 
الشمولية مجملها وتقوم بتنسيق أنشطة المؤسسة مع مرور الوقت وعبر حدود المنظمة. 
وكما سنرى في فصول هذا الكتاب» فإن حوكمة تقنية المعلومات لا يجب أن تؤخذ في 
الاعتبار فقط عند إطلاق المؤسسة مبادرة جديدة, ذلك أنها ليست مشروعا يبدأ وينتهي 
بشكل منفصلء لكن يجب اعتبارها عنصرا أساسيا في نسيج المؤسسة يتجاوز حدود الزمن 
والقيادة وغيرها من المبادرات. فسواء كانت عمليات حوكمة تقنية المعلومات ف المؤسسة قد 
تطورت بشكل غير مقصود نتيجة للعمليات التحسينية والتطويرية أو بشكل مقصود نتيجة 
لمشروع مدروس» فإن الأسئلة التي يجب أن يسألها المدير الأول (الأعلى) هي: إلى أي مدى 
كانت عمليات حوكمة تقنية المعلومات التي أجريها ا © في عمليه تقديم قيمة للأعمال 
الإستراتيجية بشكل فعال عاما بعد عام؟ وهل العمليات التي أجريها يمكن تكرارها والتنبؤ بها 
وتعظبمهاة ,وهل هى لبي حقاً احنياجات أعمال وعملاق (بعيدا عن قبنى تقنية ابلعلوفات)؟ 
۲۸ دليل المسئول التنفيذي لحوكمة تقنية ابلعلومات 


أهمية حوكمة تقنية ا معلومات لجميع المؤسسات 


ومن غير ال مرجح أن تصلح عملية حوكمة تقنية معلومات واحدة لخدمة جميع أعمال 
تقنية المعلومات في المؤسسة مقارنة بصلاحيتها لخدمة كل عميل من عملاء المؤسسة 
لصف كين E‏ تماما عن المنتج نفسه أو عن تهيئة 7 تقديم المنتج أو الخدمة التي تنتجها 
المؤسسة. ونتيجة لذلكء يلزم أن نأخذ في الاعتبار عددا من العمليات ال مرتىطة بحوكمة 
تقنية المعلومات. إن هذه المجموعة المتكاملة من عمليات حوكمة تقنية المعلومات 
المتاحة هي ما نطلق عليه في فصول هذا الكتاب اسم الصورة الكاملة الكبيرة لحوكمة 
تقنية المعلومات (Governance Landscape)‏ 11. 


إن حوكمة تقنية المعلومات ما هي إلا مجموعة جزئية من حوكمة المؤسسة. حيث تقوم 
وعلى أعلى مستوى بتحديد الاحتياجات التي يجب إنجازها من خلال تحسين العمليات 
الإدارية الشاملة. وتحيط حوكمة تقنية المعلومات ذاتيا بالنظم والبنية التحتية الشاملة 
لتقنية المعلومات والاتصالات. إن حوكمة تطوير منتج ماء مثل حوكمة تقنية ا معلومات» 
تعتبر مجموعة فرعية من حوكمة ال مؤسسة وتتداخل مع حوكمة تقنية المعلومات. ولا 
تستهدف استخدام حوكمة تطوير المنتجات إلا المؤسسات التي تطور المنتجات (خلافا لتقديم 
خدمة تقنية اللعلومات الوارد تناولها في الفصل السابع عشر من هذا الكتاب على سبيل 
المثال). ولذلك ينبغي تطبيق حوكمة تطوير تقنية المعلومات في إدارات وبرامج التطوير 
تلك الحوكمة التي تعتبر مجموعة فرعية من حوكمة تطوير تقنية ا معلومات وال منتجات. 

تقدم الفصول التالية من هذا الكتاب وتصف لنا عدة أطر ومفاهيم مهمة 
بمسميات مثل كوبت (008171) وآيتل (.1111): يفهمها جيدا المتخصصون ف تقنية 
المعلومات أكثر من المديرين التنفيذيين في المؤسسة. وعلى كل حال» فكل تلك الأمور 
تعتبر ممثابة أدوات وعمليات مهمة لتحسين حوكمة تقنية ال معلومات في المؤسسة 
وتطويرهاء كما سيناقش الفصل الثاني. وف عالنا المتمركز حول تقنية المعلومات اليوة 
يجب أن تدرك السلطة التنفيذية العليا في المؤسسة أهمية حوكمة تقنية المعلومات 
ومفاهيم أنشطة الامتثال وإدارة المخاطر المرتبطة بتقنية المعلومات. وهو ما يعتبر 
الهدف العام لهذا الكتاب. 


دلبل المستول التنفيذى لحوكمة تقنية المعلومات ۳۹ 


الفصل الثانى 


المفاهيم الأساسية للحوكمة وقواعد قانون ساربينز أوكسلي 501 


كما ناقشنا في الفصل الأول فإن مصطلح حوكمة تقنية المعلومات المؤسسية ليس با مصطلح 
الجديدء لكنه عبارة عن مفهوم له معاني مختلفة بالنسبة لأشخاص مختلفين. وقد استمر 
تطور مفهوم الحوكمة المؤسسية خلال السنوات الأخيرة خاصة في الولايات المتحدة. واستجابة 
لسلسلة من عمليات الاحتيال والإخفاقات التي كانت قد تعرضت لها المؤسسات خاصة في 
العقود الأخيرة من القرن الماضيء فقد كان هناك تركيز كبير على عملية تحسين مدونات 
قواعد السلوك في المؤسسة وإنشاء ما يسمى بإدارات أخلاقيات العمل. وقد شارك مؤلف 
هذا الكتاب في قضايا حوكمة الشركات عندما أوكل إليه إدارة التدقيق الداخلي في واحدة 
من كبرى الشركات الأمريكية. حيث طلبّ منه أن يرأس فريق العمل ويقود الشركة للقيام 
راض المخد سن القولمق الغ وإغافة صياقة مدو القراعد الى لوكية والمتتعدات 
إدارة متابعة أخلاقيات العمل في الشركة. وقد كان ذلك استجابة للتهديد الرئيسي الناجم 
عن الدعاوى القضائية جراء الاحتيال الذي طال المستهلكين. وقد تم تأسيس ممارسات قوية 
للحوكمة المؤسسية في تلك الشركة؛ رغم أن هذه الممارسات كانت تركز أكثر على العمليات 
التشغيلية العامة مع قليل من التركيز على نظم تقنية المعلومات وعملياتها التشغيلية. 

لقد أصبحت قضايا الحوكمة المؤسسية ذات أهمية متزايدة في السنين الأولى من القرن 
الحالي عندما شهدت الولايات المتحدة سلسلة من الإخفاقات لكبرى الشركات والذي كان 
السبب الرئيسي لها بشكل عام هو الغش المحاسبي والاحتيال المالي. وكانت الشركة التي 
غرفت بالسمعة السيئة في تلك الفترة هي شركة إنرون 8808 التجارية. فقد كان الإخفاق 
المفاجي وغير المتوقع لتلك الشركة ناتجا عن الاحتيال ا مالي الذي تسبب ف الزج بالعديد 
من المديرين التنفيذين للشركة في السجون. وقد عَجَل هذا الإخفاق لشركة إنرون في 
إقرار قانون ساربينز أوكسلي ×50 في الولايات المتحدة الأمريكيةء وكذلك في إيجاد مطالب 
ممائلة في جميع أنحاء العالم. ستقدم الأجزاء التالية من هذه الوحدة بلحة عامة عن 
الضوابط الداخلية لقانون ×50 والتشريعات القانونية للحوكمة. 


دليل المسئول التنفيذي لحوكمة تقنية المعلومات 5 


الفصل الثاني 


تسلك المفاهيم العامة للحوكمة التي ناقشناها في الفصل الأول اتجاها مغايرا بعض 
الشيء عندما نقوم بتقديم مفاهيم ونظم تقنية المعلومات ووضعهما في مزيج واحد. 
فالعديد من المفاهيم العامة لدينا حول حوكمة الإدارة قد تأسست واكتملت نوعا ما في 
النصف الأخير من القرن العشرين. فوضعت معايير. وكذلك ممارسات العمل بين الإدارة 
والمدققين الخارجيين والهيئات التنظيمية. 

بالإضافة إلى إعطاء بمحة عامة حول المفاهيم الخاصة بقانون ×80 فإن هذا الفصل 
سيقدم أيضا عرضا رفيع المستوى لقضايا حوكمة تقنية المعلومات. متضمنا ذلك قضايا 
امؤسسة التشريعية والأمنية والمخاطر المرتبطة بتقنية المعلومات. كما سيناقش هذا الفصل 
التهديدات الداخلية والخارجية التي تؤثر في عمليات حوكمة تقنية المعلومات المؤسسية. 
إضافة إلى بعض خصائص الحوكمة الفعالة لتقنية ا معلومات في المؤسسة. ويستعرض هذا 
القضل آيخا كلا من المفاهيم العامة والخاصة لحوكمة تقنية المعلومات التي تُطبق على 
كبار المديرين اليوم. وسيتم الرجوع إلى العديد من هذه المفاهيم لاحقا ومناقشتها ممزيد 
من التفصيل في فصول أخرى. 


قانون ساربينز أوكسلي ×50: 

قانون ×50 هو قانون أمريي كان قد صدر عام ۲٠١۲‏ لتحسين عمليات إعداد التقارير 
امالية والتدقيق والحوكمة المؤسسية في الشركات العامة. وقد كان لهذا القانون في البداية 
أثر كبير في الأعمال في الولايات المتحدة: أما الآن فقد تم الاعتراف به واعتماده في جميع 
أنحاء العاط. وعلى الرغم من أن قواعد التدقيق والرقابة الداخلية لهذا القانون قد أسهمت 
وبشكل مباشر في تغيير العديد من ممارسات التدقيق الخارجي وال ممارسات امالية الخاصة 
بتقنية المعلومات. فإنه كان لهذا القانون أثر كبير أيضا في حوكمة تقنية المعلومات. إن 
الفهم العام لهذا القانون من خلال التركيز على البند ٠١٤‏ والمتعلق بقواعد الرقابة المحاسبية 
الداخلية يعد مطلب معرفي رئيسي بالنسبة لجميع كبار المديرين. 

لقد أصبح قانون ×50 قانونا أمريكيا استجابة لسلسلة من المخالفات المحاسبية 
والإخفاقات المالية التي كانت قد تعرضت لها في السابق شركات كبرى كإنرون 10102 
وورلد كوم 17011010021. وقد تسبب قانون ×50 في إحداث العديد من التغيرات 


ا دليل المسئول التنفيذي لحوكمة تقنية المعلومات 


المفاهيم الأساسية للحوكمة وقواعد قانون ساربينز أوكسلي 501 


الرئيسية التي كانت قد أثرت في عمليات حوكمة الشركات والعمليات المحاسبية وعمليات 
تدقيق التقارير المالية -بداية ف الولايات المتحدة وحاليا في جميع أنحاء العالم. وعلى 
الرغم من أن قانون ×50 عبارة عن مجموعة شاملة من التشريعات التي تحتوي على 
العديد من المكونات» فإن الجزء الأعظم من اهتمام الأعمال والمدققين الخاضعين لهذا 
القانون قد انصب على البند ٠٠٤‏ منه والمتعلق بقواعد تصديق أو إقرار الخضوع للرقابة 
الداخلية. وقد تسببت هذه الإجراءات المتعلقة بتدقيق الرقابة الداخلية في بذل المزيد 
من الجهد والاهتمام عندما بدأت الشركات بإقرار الالتزام بقانون :50. يقدم هذا 
القسم نظرة عامة رفيعة المستوى عن قانون ×50 الموجود حالياء مع التركيز أكثر على 
البند ٤٤٤‏ منه والقواعد الأكثر أهمية بالنسية لقضابا حوكمة تقنية ايلعلومات. وسنلخص 
متطلبات هذا القانون الخاصة مراجعات الضوابط ال محاسبية الداخلية» كما سنلخص أحد 
معايير التدقيق الخارجي الذي يعتبر جديدا نسبيا والذي يطلق عليه معيار التدقيق رقم 
»Auditing Standard No. 5 )455 5(‏ وهو مجموعة إضافية من طرق الرقابة القاتئهة 
على المخاطر والذي يؤكد أيضا أهمية القيام مراجعات للضوابط الداخلية للتقارير المالية. 
بناء على ما تقدم فإنه يجب أن يكون لدى جميع كبار المديرين في المؤسسة مستوى عام 
من المعرفة والفهم الخاصة بقواعد الرقابة الداخلية لقانون <501"". 


العناصر الأساسية لحوكمة تقنية المعلومات الخاصة بقانون 501: 

إن الاسم الرسمي لقانون ×50 هو قانون إصلاح ال محاسبة العامة وحماية ا مستثمرين 
.)Public Accounting Reform and Investor Protection Act)‏ وقد أصبح قانو ٤‏ 
تشريعيا في شهر أغسطس عام ۲٠٠۲م‏ وتم إصدار معظم القواعد واللوائح التنظيمية 
التفصيلية النهائيه لهذا القانون مع نهاية العام التالي. ولأن اسمه يبدو طویلا بعض 
الشيء: فقد أطلق عليه رجال الأعمال اسم قانون ساربنز أوكسلي ×80 نسبة لأسماء 
أعضاء الكونجرس الأمريكي الأساسيين الرعاة لهذا القانون. يشير أغلب المهنيين بشكل 
عام إلى هذا القانون باسم <:50: أو 501, أو <53150: وذلك من بين العديد من الأسماء 
الأخرى. 


دليل المستول التنفيذي لحوكمة تقنية المعلومات - 


الفصل الثاني 


لقد قدم قانون 501 مجموعة من العمليات المختلفة كليا فيما يخص الرقابة الخارجية: 
كما قام باسناد العديد من المسئوليات الجديدة للحوكمة إلى كبار المديرين التنفيذيين 
وأعضاء مجلس الإدارة. كما تم موجب هذا القانون إنشاء مجلس الإشراف المحاسبي على 
الشركات اللساهمة Public Company Accounting Oversight Board (PCAOB)‏ 
وهو الهيئة المسؤولة عن وضع القوانين» وهو خاضع لهيئة الأوراق المالية والبورصة 
الأمريكية Securities and Exchange Commission (SEC)‏ وهي الهيئة التي تقوم 
بإصدار المعايير الخاصة بالتدقيق ال مالي والإشراف على حوكمة المدقق الخارجي. وكما هو 
الحال بالنسبة لجميع القوانين الاتحادية المتعلقة بالأموال والسندات المالية. فقد تم تطوير 
مجموعة إضافية من اللوائح والقوانين الإدارية من قبل هيئة الأوراق المالية والبورصة 
الأمرمكية وذلك استناذا إل تشريعات ×50 


يتم تنظيم وإصدار القوانين الاتحادية الأمريكية على شكل أقسام منفصلة بداخل 
القانون التشريعي تسمى أبوابء ويندرج تحت كل باب مجموعة من البنود المرقمة 
والبنود الفرعية. ويشتمل قانون ×50 على العديد من القواعد التي ليست بتلك الأهمية 
الكنيرة بالنسية لديف عن اللوسين. نذكر على سل لقال الخ 5١‏ (ذ) هق البات الأول 
والتي تنص على أنه يجب على هيئة الأوراق المالية والبورصة الأمريكية أن تضع الحد 
الأدنى من معايير أو قواعد السلوك المهني الخاصة بالمحامين الممارسين والتابعين للجنة 
مراقبة عمليات البورصة" . وقد يكون من الجيد أن نعرف أن هذا الأمر ليس له أي 
تأثير يذكر في إدارة المؤسسة وحوكمة تقنية المعلومات. يوجز الشكل التوضيحي )١-7(‏ 
الأبواب أو البنود الرئيسية لقانون <501: علما بأن تركيزنا سيكون فقط على الباب الأول 
والراإبع من القانون. فلسنا بصدد وصف جميع بنود قانون ×50 أو إعادة نشر النص 
الكامل لهذا التشريع الذي يمكن أن نجده على شبكة الويب”٠‏ وإنما نهدف إلى تسليط 
الضوء على الأجزاء الأكثر أهمية بالنسبة للمهنيين المعنيين بهذا القانون. وسنبدأ بمناقشة 
الباب الأول من قانون ×50 والخاص مجلس الإشراف المحاسبي على الشركات المساهمة 
38 وقواعد البند .٤٤١٤‏ 
0 وى ادبو ااي باهي وق غل وفع قود تحد من ممارسة المهنيين بصفة وسيط أو مستشار 

أو تاجر (المترجم). 


ع دليل المسئول التنفيذي لحوكمة تقنية ا معلومات 


المفاهيم الأساسية للحوكمة وقواعد قانون ساربينز أوكسلي :50 


شكل توضيحي )١-(‏ 


موجز الأحكام الرئيسية لقانون <50. 


ایند 


نشاء مجلس اشراف | | القواعد ال العافة سان 0 ا يحي على ب 
المساهمة 2040178. | المجلس. 

الجدول الزمني لعمليات التفتيش التي يقوم بها مجلس الإشراف 

ْ المحاسبي على الشركات المساهمة ۴۳4۸08 على شركات المحاسبة 


تحدد الممارسات المحظورة على شركات المحاسبة كالاستعانة مصدر 
| خارجي لعملية التدقيق الداخلي (تعهيد التدقيق الداخلي). أو 


| مسك الدفاتر المحاسبية أو تصميم النظم المالية. 


يجب أن يصدق كل من الرئيس التنفيذي ©6181 والمدير ا مالي 





دلبل المسئول التنفيذي لحوكمة تقنية المعلومات ۳0 


تحسين مراجعة | قد تقوم هيئة الأوراق اطالية والبورصة الأمريكية بوضع إطار 
الإفصاحات المالية. | زمني لعدة مراجعات للمعلومات المالية المدونة بالتقارير استنادا | 





الباب الأول من قانون <:50: مجلس الإشراف المحاسبي على الشركات 
المساهمة 2)401: 

قدم قانون ×50 قواعد جديدة وهامة للمدققين الخارجيين. فقبل ظهور قانون 
×50 كان المعهد الأمريي للمحاسبين القانونيين AICPA (American Institute of‏ 
Public Accountants‏ 6111160)) هو اللسؤول عن وضع الإرشادات لجميع المدققين 
الخارجيين وشركات المحاسبة العامة التي يعملون بها وذلك من خلال مسؤوليته الكاملة 
عن شهادة المحاسب القانوني Public Accountant (CPA)‏ 61]11160). وبينما قامت 
مجالس ال محاسبة ف الولايات في الواقع باعتماد محاسبين قانونيين ئ۲4 كان اللعهد 
الأمريي للمحاسبين القانونيين هو السَتّباق في حمل كامل المسؤولية الخاضة بالمهنة. 
كما تم أيضاً وضع معايير التدقيق الخارجي من قبل مجلس معايير التدقيق 4101188 
Board (ASB)‏ 56808105 التابع للمعهد الأمريي للمحاسبين القانونيين .۸1°٥۴۸‏ 
وعلى الرغم من أن المعايير الأساسية - التي يطلق عليها اسم معايير التدقيق المقبولة 
قبولا عاما Generally Accepted Auditing Standards (GAAS)‏ - كانت موجودة 
اها ومعمولاً بها على مر السقة: إلا أن هتاك معاي تناقيق أحددث قد ثم إصدارنها 
على شكل نشرات مرقمة عن معابير التدقيق 56231102105 Statements on Auditing‏ 
(ققظلة): نقد كان الك من مار التنقق اللقولة دولا غاما #شكرة معرة مار ساك 
جيدة للتدقيق» مثل أنه يجب أن تكون المعاملات المحاسبية مدعومة بالوثائق اللازمةء في 


8 دليل المسئول التنفيذي لحوكمة تقنية المعلومات 


المفاهيم الأساسية للحوكمة وقواعد قانون ساربينز أوكسلي SOx‏ 


حين تناولت النشرات المرقمة للعايير التدقيق 5455 مجالات معينة بحاجة إلى مزيد من 
التوضيح أو التعريف. كالنشرة المعيارية رقم ٩٩‏ 99 .7/0 545 التي تناولت الاعتبارات 
المتعلقة بالعمليات الاحتيالية في القوائم المالية. حيث تشترط قواعد السلوك المهني 
الخاصة بالمعهد الأمريى للمحاسبين القانونيين وجود محاسبين قانونيين (0245) لاتباع 
جميع معايير التدقيق (القابله للتنفيذ) والتوافق معها. 

وقد قامت هيئة الأوراق المالية والبورصة الأمريكية بقبول معايير التدقيق المقبولة قبولا 
عاما والخاصة بالمعهد الأمريي للمحاسبين القانونيين (6۸45 41024 ) ونشرات معايير 
التدقيق 585 الخاصة بها. وقد حددت قواعد التدقيق هذه معايير التدقيق الخارجي 
والاختبارات الضرورية التي يجب تطبيقها على القوائم المالية الخاضعة للتدقيق. من جهة 
آخرى» أشارت الفضائح المحاسبية التي أدت إلى إصدار قانون ×50 إلى أن عملية إنشاء 
معايير التدقيق التي يقودها المعهد الأمريي للمحاسبين القانونيين قد "غطلت". وقد انتزع 
قانون ×50 عملية وضع معايير التدقيق هذه من المعهد الأمريكي للمحاسبين القانونيين 
والتي كانت خاضعة لهيمنة شركات المحاسبة العامة الكبرى» كما عمل القانون على إنشاء 
مجلس الإشراف ال محاسبي على الشركات المساهمة. وهو مؤسسة غير اتحادية. وغير ربحية 
تقع على عاتقها مسؤولية الإشراف على جميع عمليات التدقيق الخاصة بالشركات التي 
تخضع لهيئة الأوراق امالية والبورصة الأمريكية. 

إن مجلس الإشراف المحاسبي على الشركات المساهمة 20401 ليس بديلا عن المعهد 
الأمريكي للمحاسبين القانونيين 4107284: ولكنه تولى المسؤولية عن ممارسات التدقيق 
الخارجي التي يقوم بها الأعضاء التابعون للمعهد الأمريكي للمحاسبين القانونيين. ولا يزال 
المعهد الأمريكى للمحاسبين القانونيين مستمرا ف إدارة اختبار ابلحاسب القانوني المعتمد 
۸ وشهاداته التي تمنح تبعاً لكل ولاية كما يقوم المعهد أيضاً بوضع معايير التدقيق 
للمنظمات الأمريكية الخاصة غير الخاضعة لهيئة الأوراق المالية والبورصة الأمريكية. وبينما 
يحدد الباب الأول من قانون ×50 ممارسات التدقيق الخاصة مجلس الإشراف المحاسبي على 
الشركات المساهمة التي يقوم بها المدققون الخارجيون: نجد أن القواعد الأخرى لعمليات 
التدقيق وحوكمة الشركات قد أسهمت أيضا في تغيير الكيفية التي ينسق بها المدققون 


دلبل المستول التنفيذي لحوكمة تقنية اا معلومات نه 


الفصل الثانى 


الداخليون أعمالهم مع المدققين الخارجيين. وعلى الرغم من أن الباب الأول من قانون :50 
يحتوي على العديد من القواعد الجديدة: قد تكون القواعد الثلاث الأكثر أهمية بالنسبة 
للعديد من كبار المديرين هي أن مجلس الإشراف المحاسبي على الشركات المساهمة حاليا 
هو من تقع على عاتقه المسئولية الرئيسيهة عن مراقبه شركات ال محاسبه العامه» وهو الذي 
يقوم أيضا بوضع القواعد الخاصة بمعايير التدقيق الخارجي لهذه الشركات » ويقوم كذلك 
بوضع قواعد معايير التدقيق كالاحتفاظ بأوراق العمل. تصف الفقرات التالية بإيجاز 
قواعد عملية التدقيق الخارجي تلك والواردة في الباب الأول من قانون :50. 


إدارة مجلس الإشراف المحاسبي على الشركات المساهمة 204078 وتسجيل شركات 
المحاسبة العامة: يدار مجلس الإشراف المحاسبي على الشركات المساهمة من خلال مجلس 
معين من قبل هيئة الأوراق المالية والبورصة الأمريكية بعضوية مشروطة غير خاضعة 
لهيمنة مصالح ال محاسبين القانونيين C۶4‏ وشركات المحاسبة العامة. ويكون مجلس 
الإشراف المحاسبي على الشركات المساهمة هو المسؤول عن الإشراف على جميع شركات 
المحاسبة العامة التي كانت تمارس عملها قبل إنشاء هيئة الأوراق المالية والبورصة الأمريكية 
وتنظيمهاء كما أنه مسكول أيضا عن وضع معايير التدقيق. 

معايير التدقيق ومراقبة الجودة والاستقلال: يمتلك مجلس الإشراف المحاسبي على 
الشركات المساهمة سلطة وضع معايير التدقيق والتوثيق المتعلقة بهاء وكذلك معايير 
مراقبة الجودة وأخلاقيات العمل في شركات المحاسبة العامة المسجلة. كما يعترف قانون 
×50 معايير التدقيق التي كانت قد صدرت في السابق عن المعهد الأمريي للمحاسبين 
القانونبينء. وقد ادو هذا القانون حتى الآن عددا ميحدودا من المعابير الجديدة. كمعيار 
التدقيق رقم © 455 الخاص مراجعة وتقييم الضوابط الداخلية. وتوضح قواعد قانون 
×80 أيضا أنه يجب أن يتضمن تقيي م المدقق الخارجي وصف نقاط الضعف الجوهرية 
وكذلك جميع الأمور الخاصة بعدم الامتثال الجوهري التي تم الكشف عنها. فا مدققون 
الخارجيون مطالبون بتعديل فاعلية الضوابط الداخلية. وغياب مثل هذا التوثيق يجب 
اعتباره أحد نقاط الضعف في الضوابط الداخلية. 


۴۸ دليل المسئول التنفيذي لحوكمة تقنية ا معلومات 


المفاهيم الأساسية للحوكمة وقواعد قانون ساربينز أوكسلي :50 


الاحتفاظ بأوراق عمل التدقيق: أوراق العمل هي الوثائق التي أعدت بواسطة المدققين 
خلال عملية التدقيق. ووفقا لمعيار التدقيق رقم ٠‏ 453 الصادر عن مجلس الإشراف 
المحاسبي على الشركات المساهمة والخاص بوثائق التدقيق» فإنه يجب الاحتفاظ بأوراق 
العمل الخاصه بالتدقيق وغيرها من الوتائق الداعمه لفترة زمنية لا تقل عن سبع سنوات. 
وقد جاء هذا المطلب بالتأكيد ردا على حدث مؤسف كان قد وقع قبيل سقوط شركة إنرون 
ومن ثم سقوط آرثر أندرسون ur Andersen‏ Arth»ء‏ وهو مكتب التدقيق الخارجي للشركة. 
فقد كانت شركة إنرون لا تزال تعملء ولكنها تعاني بعض الضغوطات المالية عندما أعلنت 
هيئة الأوراق المالية والبورصة الأمريكية بأنها تنوي إجراء معاينة فعلية (لوثائق التدقيق). 
وعلى إثر ذلك قام (مدققو مكتب) آرثر أندرسونء المدقق الخارجي للشركةء باستخدام 
إحدى السياسات الداخلية للشركه لتبرير عملية إتلاف جميع بل معظم وثائق التدقيق 
الحالية الخاصة بالشركة. وكان هذا الحدث أحد العوامل المحفزة التي أدت إلى وجود هذه 
القاعدة في قانون <:50. 

نطاق اختبار الضوابط الداخلية: تشترط مبادئ مجلس الإشراف المحاسبى على الشركات 
العامة وجود مدققين خارجيين يقومون بوصف نطاق كل من عمليات الاختبار ونتائجها. 
فقبل ظهور قانون ×80 كان المدققون الخارجيون أحيانا يقومون باستخدام السياسات 
الداخليه للشركه لتبرير العديد من الاختبارات التي يجرونها على عينات صغيرة من العناصر, 
فقد جرت العادة بأن يقوموا بإجراء اختباراتهم على عينات صغيرة من الأشخاص بالرغم 
من وجود عدد كبير من الذين مكن إخضاعهم لعمليات الاختبار. وعندما تظهر النتائج 
الإيجابية للاختبارات وم تظهر أية مشكلات» فإنهم يقومون بتعميم تلك النتائج الخاصة 
بالاختبارات التي أجريت على العينة الصغيرة على جميع العناصر أو الأشخاص. أما الآن 
فيجب عليهم إعطاء مزيد من الاهتمام لكل من نطاق ومعقولية إجراءات الاختبار لديهم» 
ويجب أن تصف الوثائق المساندة بوضوح نظاق ومدق أنشطة الاختبار. 


الباب الرابع لقانون 500<'5: الإفصاحات المالية المعززة والبند ع ٠غ:‏ 
تم تخصيص الباب الرابع من قانون ×50 لمعالجة بعض المشاكل الخاصة بالإفصاح عن 
التقارير المالية. والتشديد على القواعد الخاصة بتضارب المصالح بالنسبة لوظفي ومديري 


دلبل المسئول التنفيذى لحوكمة تقنية المعلومات ۳۹ 


الفصل الثانى 


الشركة. وتفويض الإدارة بتقييم الضوابط الداخليةء وإصدار مدونة قواعد السلوك لكبار 
الموظفين وغيرها من القضايا. يوجد العديد من البنود في هذا الباب» إلا أن البند الأكثر 
أهمية بالنسبة لمعظم كبار المديرين هو البند ٠6‏ والذي يدور حول تقييم الإدارة للضوابط 
الداخلية. يشترط قانون ×50 أن تحتوي جميع تقارير (1016)'' السنوية على تقرير الضوابط 
الداخلية الذي ينص على مسئولية الإدارة عن إنشاء نظام مناسب للضوابط الداخلية والحفاظ 
عليهء وكذلك تقييم الإدارة لمدى فاعلية تلك الإجراءات الموضوعة للضوابط الداخليةء وذلك 
اعتبارا من تاريخ انتهاء السنة المالية. هذا ما يُعْرّف عموما بقواعد البند .6٠6‏ ويتحمل كل 
من المدققين الداخليين ومدققي تقنية المعلومات والاستشاريين الخارجيين وحتى الفريق 
الإداري - باستثناء المدققين الخارجيين - المسئولية عن مراجعة وتقييم فاعلية الضوابط 
الداخلية لديهم: ثم يأتي بعد ذلك دور المدققين الخارجيين للتصديق على مدى كفاية تلك 
المراجعات للضوابط الداخلية التي تم بناؤها ومراقبتها من قبل الإدارة. 

يتم دعم عمليات المراجعة الخاصة بالبند ٤٠٠٤‏ من قبل قواعد معيار التدقيق رقم ٠‏ 
5 والتي ستناقش لاحقاً في هذا الفصل. وهي تعد من الأمور الهامة وخصوصاً للمدققين 
الداخلين نظرا لأن هذه القواعد توضح أنه من الممكن للمدققين الخارجيين أن يقوموا بعمل 
المدققين الداخليين في مراجعاتهم للضوابط الداخلية. 

تنص قواعد البند ٤١٤‏ من قانون :50 على أن المؤسسة هي المسؤولة عن مراجعة 
وتوثيق واختبار الضوابط المحاسبية الداخلية لديهاء مع تمرير نتائج تلك المراجعات إلى 
المدققين الخارجيين للمؤسسة والمكلفين بمراجعة تلك الأعمال والتصديق عليها على أنها جزء 
من مهامهم المتعلقة بمراجعة القوائم المالية المعلن عنها. عندما تم سن قانون ×50 لأول 
مرة. كانت عمليات المراجعة الواردة في البند ٤٠٤‏ هي نقطة الاهتمام الرئيسية بالنسبة 
للعديد من المؤسسات نظرا لأن المدققيين الخارجيين كانوا في السابق يتبعون مجموعة 
تفصيلية للغاية من الإجراءات الخاصة بعملية تدقيق المحاسبة اطالية التي تم تحديدها في 
معيار التدقيق رقم ۲ 452 الخاص مجلس الإشراف اللحاسبي على الشركات المساهمة» وهو 
(؟) هو تقرير تطلبه هيئة الأوراق المالية والبورصة الأمريكية من الشركات للتأكد من مدى التزامهاء وهو عبارة 

عن تقرير مالي سنوي يعد من قبل الشركة في نهاية كل سنة مالية ويجب أن يكون مصدقا من المحاسب 

القانوني الخاص بالشركة. (المترجم). 


3 دليل المسئول التنفيذي لحوكمة تقنية المعلومات 


المفاهيم الأساسية للحوكمة وقواعد قانون ساربينز أوكسلي :50 


الأمر الذي يحتاج إلى نهج تفصيلي للمراجعة لا يسمح بأي أخطاء أو هفوات حتى لو كانت 
صغيرة. وقد تغيرت بعد ذلك قواعد التدقيق الواردة في البند ٠٠٤‏ مع صدور معيار التدقيق 
رقم 0 455 من مجلس الإشراف المحاسبي على الشركات المساهمة في عام ۷١٠۲ء‏ والذي 
بعد أحد أساليب التدقيق القائفة أكثرعال المخاطرء كما يس خخ أيضا للمدققن الخارجيين 
باستخدام أعمال المدققين الداخليين في إجراء التقييمات الخاصة بهم على نحو أفضل. 


البند ٠٠٤‏ تقبيمات الضوابط الداخلية: 
كانت الإدارة دائما هي التي تتحمل المسؤولية الكاملة عن تصميم وتطبيق ضوابط 
الرقابة الداخلية على عمليات التشغيل داخل المؤسسة. وعلى الرغم من أن معايير تكوين 
الضوابط الداخلية الجيدة لم تكن دائما محددة بشكل جيد في الماضيء إلا أنها بقيت أحد 
المفاهيم الرفسنة لار مط الف ع من قانون نة القيام بإعداد تقرير سنوي عن 
الضوابط الداخليةء يشتمل على عناصر المعلومات التالية. على أنها جزء من نموذج التقرير 
السنوي 101 الذي تم فرضه من قبل هيئة الأوراق المالية والبورصة الأمريكية. 
- بيان رسمي من الإدارة يقر بمسئولية المؤسسة عن إنشاء وصيانة هيكل وإجراءات مناسبة 
للرقابة الداخلية الخاصة بالتقارير المالية. 
- تقييم لفاعلية بنية وإجراءات الرقابة الداخلية للتقارير المالية في ا مؤسسة» اعتبارا من 
نهاية آخر سنة مالية. 
وبالاضافة إلى ذلك. فإن مكتب التدقيق الخارجي الذي قام بإصدار التقرير الداعم 
للتدقيق. مطالب هو الآخر مراجعة تقييم الإدارة للضوابط المالية الداخلية الخاصة بها 
والإفصاح عن النتائج. نستطيع القول ببساطة إن الإدارة مطالبة بالإعلان عن جودة ضوابط 
الرقابة الداخلية لديهاء كما يجب على شركة المحاسية العامة أن تدقق أو تصادق على أن 
الإدارة قد قامت فعلا بتطوير تقرير عن الضوابط الداخلية بالإضافة إلى عملها الطبيعي 
والخاص بتدقيق القوائم المالية. لقد جرت العادة بآن تكون الإدارة هي المسئولة عن إعداد 
تقاريرها المالية الدوريةء ثم يآتي بعد ذلك دور المدققين الخارجيين الذين يقومون بتدقيق 
تلك الأرقام المالية والتصديق على سلامتها. فبموجب البند 06 من قانون ×50 تكون 


دلبل المستول التنفيذي لحوكمة تقنية اا معلومات اع 


الفصل الثاني 


الإدارة هي المسؤولة عن توثيق وفحص الضوابط المالية الداخلية لديها وكذلك الإفصاح عن 
مدى كفاءتها. ثم يقوم المدققون الخارجيون بعد ذلك مراجعهة المواد الداعمه التي نتج 
عنها هذا التقرير الخاص بالضوابط المالية الداخلية للتأكيد على أن هذا التقرير ما هو إلا 
وصف دقيق لبيئة الرقابة الداخلية. 

بالنسبة لمدقق القوائم غير المالية وبالتأكيد بالنسبة للعديد من كبار مسؤولي الأعمال 
التنفيذيينء قد يبدو ذلك مطلبا غامضا أو تافها بعض الشيء. حتى إن بعض المدققين 
الداخليين المنشغلين بالدرجة الأولى في عمليات التدقيق التشغيلية قد يتساءلون عن 
الفروقات البسيطة في هذه العملية. في جميع الأحوال» فإن تقارير التدقيق المتعلقة بحالة 
الضوابط الداخلية كانت نقطة خلاف مستمرة بين المدققين الخارجيين وهيئة الأوراق امالية 
والبورصة الأمريكية وغيرها من الأطراف المعنية على الأقل منذ عام 1916. وكان جزء كبير 
من المشكلة هو عدم وجود تعريف متفق عليه يوضح المقصود بالضوابط الداخلية. 

يصف إطار الرقابة الداخلية الصادر عن لجنة المنظمات الراعية 01 Committee‏ 
Sponsoring 015211122610115 (COO)‏ الذي ستتم مناقشته ق الفصل الرابع من هذا 
الكتاب» المعيار المعتمد لفهم الضوابط الداخلية. فبموجب البند 05 من قانون 501 
فإن الإدارة مطالبة بإعداد تقرير عن مدى ملاءمة ضوابطها الداخليةء مع تصديق المدققين 
الخارجيين على هذه التقارير التي أعدتها الإدارة عن الضوابط الداخلية. 

وتخضع هذه العملية إلى رقابة داخلية أساسية كمثال على أهمية الفصل بين المهام لأن 
الشخص الذي يقوم بتطوير المعاملات لا ينبغي أن يكون هو الشخص نفسه الذي يوافق 
عليها. وبموجب إجراءات البند ٤١٠٤ء‏ فإن المؤسسة هي التي تقوم ببناء وتوتيق عمليات 
الرقابة الداخلية لديهاء ثم تقوم بعد ذلك جهة مستقلة كالتدقيق الداخلي بمراجعة وفحص 
تلك الضوابط الداخلية, وأخيرا يقوم المدققون الخارجيون بمراجعة تلك العملية والتصديق 
على مدى كفايتها. وسوف تستند إجراءات التدقيق المالي الخاصة بهم إلى تلك الضوابط 
الداخلية. إن هذه العملية الواردة في البند ٤٠٤‏ تقوم بتحسين الأمور التي كانت موجودة 
في الأيام التي سبقت صدور قانون ×50 عندما كان يقوم المدققون الخارجيون ببناء وتوثيق 
وتدقيق الضوابط الداخلية لديهم بشكل متكررء وهذا يعد خللا في الفصل بين المهام. 


¢۴ دليل المسئول التنفيذي لحوكمة تقنية المعلومات 


المفاهيم الأساسية للحوكمة وقواعد قانون ساربينز أوكسلي :50 


تحديد العمليات الرئيسية للبدء في مراجعة الإمتثال للبند ع :6٠‏ 
لكل مؤسسة مجموعة من العمليات الأساسية تتعلق بدوراتها المحاسبية والتي من 
الطبيعي أن تؤخذ في الاعتبار. سواء كان ذلك بالاعتماد على نظم تقنية المعلومات أو على 
الإجراءات البدوية التي يتم أداؤها بصورة منتظمة: وهذه العمليات هي : 
٠‏ دورة الإيرادات: وهي عملىات متعلقة بالمسعات أو الايرادات الأخرى للمؤسسة. 
٠‏ دورة النفقات المباشرة: هي عبارة عن نفقات المواد أو التكاليف المباشرة للإنتاج. 
٠‏ دورة النفقات غير المباشرة: عبارة عن تكاليف التشغيل التي لا يمكن ربطها مباشرة 
بالأنشطة الإنتاجية ولكنها ضرورية لعمليات تشغيل الأعمال بشكل عام. 
٠‏ ذورة الرواتب: تشمل کل مستحقات العاملين. 
٠‏ دورة المخزون: بالرغم من أن المخزون سيعتبر في نهاية المطاف كنفقات إنتاجية مباشرة: 
فإن هناك حاجة لعمليات زمنية للحفاظ على المخزون لحين دخوله في الإنتاج. 
٠‏ دورة الأصول الثابتة: تحتاج الممتلكات والمعدات إلى عمليات محاسبية منفصلةء مثل 
(المحاسبة الدورية للإهلاك) بمرور الزمن. 
٠‏ دورة الضوابط العامة لتقنية المعلومات: تشمل هذه المجموعة من العمليات ضوابط 
تقنية المعلومات العامة أو القابلة للتطبيق على جميع عمليات تشغيل تقنية المعلومات. 
يعد تحديد تلك العمليات المؤسسية الرئيسية خطوة مبدئية نحو تحقيق الامتثال للبند 
٤‏ لذلك يجب على المؤسسة أن توثق وتعي وتختبر كل تلك "العمليات الرئيسية". 
وبالنسبة للعديد من المؤسسات,ء فهذه هي النظم الرئيسيه وعمليات تقنيه المعلومات 
الداعمة لها التي تراجع سنوياً من خلال عمليات التدقيق الخارجي. 


دور التدقيق الداخلي: 

على الرغم من أن قانون ×50 لم يعط مسؤوليات محددة لعمليات التدقيق الداخلىء 
فإنها تعد مصدرا هاما لإتمام عمليات تقييم الضوابط الداخلية الواردة في البند .٤٠٠٤‏ بموجب 
قانون ×50 فإنه يوجد إدارة مستقلة ومنفصلة في المؤسسة - تكون إدارة التدقيق الداخلي 


دلبل المستول التنفيذي لحوكمة تقنية اا معلومات وف 


الفصل الثانى 


أو تدقيق تقنية ا معلومات غالبا - تقوم بمراجعة وتوثيق الضوابط الداخلية التي تغطي 
العمليات الرئيسية: وتحدد نقاط الرقابه الرئيسية؛ وتقوم بعد ذلك باختبار هذه الضوابط 
المحددة. ومن ثم تقوم عملية التدقيق الخارجي بممراجعة هذا العمل وتصادق على مدى 
كفايته. وبالنسبة للعديد من المؤسسات» يمكن اعتبار عملية تدقيق تقنية المعلومات بأنها 
أحد المصادر الرئيسية لإجراء تلك المراجعات الخاصة بالضوابط الداخلية بالنسبة للعمليات 
القائمة على التقنية. 

يجب أن تعمل الإدارة المالية العليا ولجنة التدقيق مع المدققين الخارجيين 
للمؤسسة لتحديد المسؤوليات الخاصة بمراجعات الضوابط الداخلية الخاصة بهم 
والواردة في البند .٤٠٤‏ وتجري هذه المراجعات سنويا باستخدام الوثائق التي تم 
إعدادها واختبارها في أول سنة ماليةء ثم تَحَدَّتْ بعد ذلك ويعاد اختبارها في فترات 
لاحقة. لذا يجب على جميع الأطراف تطوير نهج فعال من حيث التكلفة لتحقيق 
متطلبات قانون ×50 وتقييم تطبيقات وضوابط تقنية المعلومات لديهم. 

يجب تخطيط وإجراء المراجعات الخاصة بالبئد ٤٠٤‏ من قانون :50 على غرار 
العديد من المشاريع الجديدة في تقنية المعلومات» كما جاء في الفصل التاسع عشر 
الذي يدور حول دور التدقيق الداخلي في حوكمة تقنية المعلومات. الشكل التوضيحي 
(9-؟) يوجز بعض اعتبارات التخطيط اللازمة لمراجعة الرقابة الداخلية الواردة في البند 
٤‏ على أن يتم تنفيذها من قبل المدققين الداخليين في المؤسسة: والذين بإمكانهم 
أن يلعبوا دورا أساسيا في مساعدة الإدارة العليا على تحقيق الامتثال مع ما ورد في 
البند .٤٠٤‏ نحن لا نهدف هنا إلى توفير إرشادات للتدقيق الداخلي بقدر ما نهدف إلى 
إعطاء المدير الأول (الأعلى) فكرة عن تلك العمليات الخاصة بالتدقيق الداخلي لتقنية 
المعلومات. 


3 دليل المسئول التنفيذي لحوكمة تقنية المعلومات 
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شكل توضيحي (7-؟) 

اعتبارات التخطيط لمراجعة الضوابط الداخلية الواردة في البند 6٠6‏ 
حدد حالة المراجعة - هل هذه هى الجولة الأولى من ال مراجعات الواردة فى البند ٤٠٤‏ بالنسبة 
للمؤسسة وسيتم متابعتها في السنوات اللاحقة؟ 1 
إذا كانت هذه هي المراجعة الأولى (مراجعة جديدة) اتبع خطوات العمل اللازمة لفهم وتوثيق 
واختبار العمليات الرئيسية. خلاف ذلك. خطط للمراجعة في فترة لاحقة. 
قم بمراجعة الوثائق التفصيلية للمراجعات السابقة للبند 0غ ..متضمناً ذلك خرائط تدفق أ 
الإجراءات» وفجوات الرقابة الداخلية التي تم تحديدها ومعالجتهاء وكذلك الوثائق الشاملة 
لتخطيط المشروع والخاصة بالطراجعة السابقة. 

. | قم مراجعة أي من القواعد الصادرة عن مجلس الإشراف المحاسبي على الشركات المساهمة قد 
تم نشرها مؤخرا يمكن أن تغطي المراجعات الواردة بالبند ٠٠٤‏ وتتعلق بالتغيرات التي تطرأ 
على التدقيق: وقم بضبط إجراءات المراجعة بحيث تعكس تلك التغييرات. 
قم بالاجتماع مح مكتب التدقيق الخارجي المسئول عن التصديقات الحالية للبند ٤٠٤‏ وقم 
بتحديد ما إذا كان هناك أي تغيرات في الوثائق وفلسفة الاختبارء مع التأكيد على قواعد معيار 
التدقيق رقم 0 455: من تلك المراجعة السابقة. 


ضع في الاعتبار أي تغييرات تنظيمية قد طرأت منذ المراجعة السابقة: متضمناً ذلك الاستحواذات 
أو العمليات الرئيسية لإعادة الهيكلةء وتعديل المدى الذي ستقوم المراجعة بتغطيته: إذا 


اقتضت الحاجة ذلك. 


من خلال اللقاءات مع الإدارة العليا وإدارة تقنية المعلومات. حدد ما إذا كان هناك نظم 
وعمليات جديدة قد تم تنصيبها خلال الفترة الماضيةء وإذا ما كانت هذه التغييرات الجديدة 
قد تم تدوينها في الوثائق المحدثة. ظ 
قم بمراجعة أي من نقاط الضعف الخاصة بالرقابة الداخلية قد تم تعريفها في المراجعات 
السابقة وقم بتقييم ما إذا كانت إجراءات تصحيح الرقابة الداخلية المدونة بالتقرير يتم العمل 
بها على أرض الواقع. 

و قم بتقييم حالة الوثيقة الحالية للبند ٤٠١٤‏ وحدد مدى ضرورة إعداد وثيقة جديدة. 
على افتراض أن ال مراجعة السابقة للبند ٤٠٠٤‏ قد تمت من قبل التدقيق الداخلي. قم بتحديد 
العناصر المدربة وذوي المعرفة المناسبة والمتاحة لإجراء المراجعة القادمة. 
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الفصل الثاني 


ْ بعمل مقابلات شخصية مع جميع الأطراف التي شاركث ف 57 المراجعة السابقة لليند 

| 0 لتقييم آي دروس مستفادةء وقم بوضع خطط للاجراءات التصحيحية في المراجعة القادمة. 

استناداً إلى المناقشة التي تتم مع المدققين الخارجيين والإدارة العلياء قم بتحديد نطاق المعاملات 
الجوهرية للمراجعة القادمة. 

قم بتحديد ما إذا كانت البرمجيات - إن وجدت - المستخدمة في المراجعة السابقة لا تزال 


موجودة: وقم بعمل أي تغيرات ضرورية حتى يكون لديك الأدوات الكافية والجاهزة لإجراء 
ا المراجعة القادمة. 


قم بإعداد خطة تفصيلية لمشروع المراجعة القادمة للبند 5 ٠غ:‏ في ظل وجود اعتبارات معينة 
لتنسيق أنشطة المراجعة لدى وحدات الأعمال في المؤسسة والمدققين الخارجيين. 


ف امنا e E‏ من قال I‏ 





قواعد معيار التدقيق رقم 0 455 والتدقيق الداخلي: 

بعد فترة وجيزة من إقرار قانون ×50 في الولايات المتحدة» أصدر مجلس الإشراف 
المحاسبي على الشركات المساهمة إرشادات معيار التدقيق رقم ۲ 452 والذي دعي فيه 
المدققون الخارجيون إلى اتباع أساليب محافظة وتفصيلية للغاية في تدقيقاتهم للقوائم 
المالية. فقد شدد معيار التدقيق رقم ۲ 452 على نهج التدقيق التفصيلي (انظر في كل 
شيء)ء وأصبحت فواتير عملية التدقيق الخارجي أغلى بكثير مما كانت عليه في السنوات 
الأول لإصدار قانون ×56 فضلا عن ذلك فقد كانت هناك شكاوى متكررة من قبل قادة 
الصناعة وآخرين وكان هناك إجماع عام على أن معيار التدقيق رقم ۲ 452 يحتاج إلى بعض 
التنقيحات. وقد تم الاتفاق بين كل من هيئة الأوراق المالية والبورصة الأمريكية ومجلس 
الإشراف المحاسبي على الشركات المساهمة على تنقيح معيار التدقيق رقم ۲ 452» وتم 
إصدار معيار التدقيق رقم ه في أواخر شهر مايو من عام /ا١٠٠ام.‏ 

معيار التدقيق رقم 0 455 هو مجموعة من المعايير الخاصة بالمدققين الخارجيين الذين 
يقومون بمراجعة واعتماد القوائم المالية ا منشورة. وتعتبر هذه القواعد مهمة أيضاً بالنسبة 
للمدققين الداخليين. يقدم معيار التدقيق رقم 0 مجموعة من القواعد القائمة على المخاطر 
مع التركيز على كفاءة الضوابط الداخلية المعتمدة أكثر على أحداث وظروف المؤسسة. هذا 


٤“‏ دليل المسئول التنفيذي لحوكمة تقنية المعلومات 
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بالإضافة إلى آن معيار التدقيق رقم 0 يدعو المدققين الخارجيين أن يأخذوا بعين الاعتبار 

جميع مراجعات التقارير ا مناسبة الخاصة بالتدقيق الداخلي أثناء مراجعاتهم المتعلقة 

بتدقيق القوائم المالية. حيث يسمح هذا المعيار للمدققين الخارجيين بأن يركزوا أكثر على 

قدرة الإدارة على إيجاد وتوتيق الضوابط الداخلية الرئيسية. 
إن لقواعد معيار التدقيق رقم © أهمية خاصة بالنسبة للمدققين الداغليين نظرا 

لإمكانية اعتماد المدققين الخارجيين على أعمال المدققين الداخليين في تقييماتهم وفقا للبند 

.٤‏ للعيار التدقيق رقم 0 ثلاثة أهداف رئيسية هي: 

-١‏ تركيز عمليات تدقيق الرقابة الداخلية على المسائل الأكثر أهمية: يدعو معبار التدقيق 
رقم © المدققين الخارجيين إلى أن يركزوا في مراجعاتهم على المجالات ذات المخاطر البالغة 
التي ستحجز الرقابة الداخلية عن منع أو اكتشاف التقارير غير الواضحة في البيانات 
المالية. إن هذا النهج يدعو المدققين الخارجيين أن يركزوا على تحديد نقاط الضعف 
الجوهرية في الرقابة الداخلية أثناء مراجعاتهم قبل أن تتسبب في وقوع أخطاء جسيمة 
في البيانات المالية. ويشدد معيار التدقيق رقم 0 أيضا على أهمية تدقيق المجالات 
العالية المخاطرء مثل عملية إقفال نهاية الفترة للقوائم المالية والضوابط المصَمّمة لمنع 
الاحتيال من قبل الإدارة. وف ذات الوقت يوفر هذا المعيار مجموعة واسعة من البدائل 
للمدققين الخارجيين لمعالجة المجالات المنخفظة ال مخاطرء كأن يكون ذلك عن طريق 
عرض أكثر وضوحا لكيفية التدرج في توضيح طبيعة وتوقيت ومدى الاختبار اعتمادا على 
المخاطرء وكذلك كيف يتم تضمين المعرفة المتراكمة من عمليات التدقيق التي تمت في 
السنوات السابقة في تقييم المدققين للمخاطر. وأيضاً من المهم جدا بالنسبة للمدققين 
الداخليينء أن معيار التدقيق رقمه يسمح للمدققين الخارجيين باستخدام الأعمال التي 
تم تنفيذها من قبل المدققين الداخليين في المؤسسة عند الحاجة. 

؟- إزالة إجراءات التدقيق غير الضرورية لتحقيق المنافع المرجوة: لا يشتمل معيار 
التدقيق رقم 0 على المتطلبات التفصيلية التي كانت موجودة في معيار التدقيق رقم ۲ 
2 السابق لتقييم عملية التقييم الخاصة بالإدارة ولتوضيح أن عملية تدقيق الرقابة 
الداخلية لا تستلزم المشورة حول مدى كفاية وملاءمة عمليات الإدارة. على سبيل المثال» 
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يركز معيار التدقيق رقم0 على أبعاد المخاطر المترتبة على تعدد المواقع في المؤسسة 
ويقلل من المتطلبات التي تستوجب على المدققين الخارجيين بأن يقوموا بمراجعة "جزء 
كبير" من عمليات التشغيل أو الأوضاع المالية في المؤسسة. هذا من شأنه أن يسمح 
بتقليص أعمال التدقيق امالي. 
*؟- توسيع نطاق عملية التدقيق ال مالي بشكل واضح لتتلائم مع حجم ومستوى التعقيد 
لأي مؤسسة: لتقديم الإرشادات الخاصة بعمليات التدقيق في المؤسسات الأصغر حجما 
والأقل تعقیدا يدعو معيار التدقيق رقم © إلى ضبط عمليات تدقيق الضوابط الداخلية 
بحيث تتناسب مع حجم ودرجة تعقيد المؤسسة التي يتم تدقيقها. فلهذا المعيار 
إرشادات تتعلق بالكيفية ية التي يتم فيها تطبيق معيار التدقيق رقم © على المؤسسات 
الأفض جما والأقق فا وكذلك على وغدات اللؤنسات اك ديا 
عقب إصدار معيار التدقيق رقم 0 , قد يفكر المدققون الخارجيون في مسألة استخدام 
أعمال الآخرين للمساعدة في إتمام تدقيق الضوابط الداخلية للقوائم المالية طبقا لقانون 
. وعلى الرغم من أن ذلك الأمر م يكن واضحا كما يجب وفقا لقواعد معيار التدقيق 
رقم ۲ 452 لقانون ×50 فإن معيار التدقيق رقم 0 قد سمح بذلك الآن بشكل صريح. 
ينص معيار التدقيق رقم © على أنه بإمكان المدقق الخارجي أن يستخدم الأعمال المنجزة 
بواسطة: أو أن يتلقى مساعدة مباشرة منء المدققين الداخليين أو الموظفين الآخرين في 
الشركة أو الأطراف الخارجية التي تعمل تحت إشراف الإدارة أو لجنة التدقيق: وذلك 
لتقديم الأدلة الكافية على فاعلية الضوابط الداخلية للتقارير المالية. وقد كان ذلك تغييرا 
جوهريا بالنسبة للمدققين الداخليين. 
من المؤكد أن المدققين الخارجيين هم من يقومون بالتوقيع أو التصديق على نتائج 
التدقيق. ويجب عليهم أيضا تقدير مدى كفاءة وموضوعية الأشخاص الذين يتم التخطيط 
لاستخدام أعمالهم من قبل المدققين الخارجيين. فكلما زادت درجة الكفاءة والموضوعية 
لدى هؤلاء الأشخاص.ء زاد حجم الاستخدام الذي يمكن أن يفعله المدقق بأعمالهم. على 
وجه التحديدء يدعو معيار التدقيق رقم0 إلى تقييم كفاءة وموضوعية المدققين الداخليين 
في المؤسسة. الكفاءة هنا تعني تحقيق (والحفاظ على) مستوى معين من الفهم والمعرفة 
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ما يكن الأشفخاص صن أذاء لهام الموكلة إلبهم أما الموضوعية فتعني المقدرة على أداء 
تلك المهام بنزاهة وأمانة معرفية. ولتقييم الكفاءة يتعين على المدقق الخارجي أن يقوم 
بتقييم مؤهلات المدققين الداخليين أو غيرهم وقدرتهم على إنجاز الأعمال التي يخطط 
المدقق الخارجي لاستخدامها. ولتقييم ا موضوعية؛ فإن معيار التدقيق رقم 0 يدعو ال مدقق 
الخارجي إلى تقییه ما إذا كانت العوامل الحالية تعرقل أو تعزز من قدرة الشخص على أداء 
الأعمال» بالقدر اللازم من الموضوعيةء والتي يخطط المدقق (الخارجي) لاستخدامها. 


يواصل معيار التدقيق رقم 0 في النص على آنه لا يجب على المدققين الخارجيين استخدام 
أعمال أشخاص (هم) على "درجة منخفضة من ال موضوعيةء بغض النظر عن مستوى 
كفاءتهم'. كما لا يجب عليهم أيضا استخدام أعمال أشخاص (هم) على درجة منخفضة 
من الكفاءة. بغض النظر عن درجة موضوعيتهم. إن الأشخاص الذين يضطلعون مهام 
رئيسية كسلطة الاختبار أو الامتثال في المؤسسة. مثل المدققين الداخليين أو مدققي تقنية 
المعلومات. هم عادة من يُتَوّقع أن يكونوا على درجة عالية من الكفاءة وا موضوعية في أداء 
مثل هذا النوع من الأعمال التي ستكون مفيدة للمدقق الخارجي. 


قواعد أخرى لقانون ×50 - الباب الثاني: استقلالية المدقق: 

كال ن الواغلوق والفارصيون اا عزارة عق موازة ا و قد كان 
المدققون الخارجيون مسؤولين عن تقييم نزاهة أنظمة الرقابة الداخلية في المؤسسة والتقارير 
اممالية المعلنة في النهاية. في حين كان ا مدققون الداخليون يخدمون الإدارة في مجموعة واسعة 
من المجالات الأخرى. في بدايات التسعينيات من القرن الماضيء بدأ هذا الانقسام بالتغير مع 
تحمل شركات التدقيق الخارجي كامل المسئولية تجاه بعض مهام التدقيق الداخلي أيضا. 
وقد يدا ذلك عندما فرعت للؤسسات الكبيرة فى الحا بمصادر خارضية للقيام بيجن 
الوظائف غير الأساسية لديها كوظيفة عامل الكفتيريا أو عمال الخدمات المعاونة كالنظافة 
والحراسة وصيانة المعدات. كان التفكير وقتها في أن الموظفين الذين عملوا في تلك المجالات 
المتخصصة م يكونوا في الواقع جزء! من عمليات التشغيل الرئيسية في ال مؤسسة» وأن وظيفة 
الخدمات المعاونة وغيرها من الوظائف غير الرئيسية الخاصة بالمؤسسة رها يتم إسنادها إلى 
شركات آخرى متخصصة في مجالات مثل تقديم الخدمات المعاونة إلى العديد من المؤسسات 
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الأخرى. وأن موظفي الخدمات المعاونة الذين كانوا يعملون سابقا داخل المنشأة سيتم 
تحويلهم إلى شركات تعمل في مجال الخدمات المعاونة» ونظرياء فإن الكل سيستفيد. وإن 
المؤسسة التي بادرت بالاستعانة بالمصادر الخارجية ستتحمل تكاليف أقلء وذلك من خلال 
إسناد الوظيفة غير الرئيسية» وهي الخدمات ال معاونةء إلى شخص ما أكثر تخصصا فيها. وقد 
يكون لدى عامل الخدمات المعاونة الذي تم الاستعانة به على أنه مصدر خارجي احتمالات 
مهنية واعدة وإشرافية أفضل. 

بدأت عملية الاستعانة مصادر خارجية للقيام بمهمة التدقيق الداخلي لأول مرة في أواخر 
الثمانينيات من القرن الماضي. فقد لجأت مكاتب التدقيق الخارجي إلى إدارات الشركات التي 
تتولى مهام التدقيق الخارجي لديها وعرضت عليهم فكرة "الاستعانة بمصادر خارجية" أو آن 
تقوم الشركة بتولي المهام الحالية للتدقيق الداخلي. وقد نالت هذه الفكرة استحسان الإدارة 
العليا ولجان التدقيق على مختلف المستويات. حيث كانت الإدارة العليا في أغلب الأحيان 
غير مدركة تماما للفروقات الموجودة ما بين مهام عملية التدقيق الخارجي والداخلي وكانوا 
في بعض الأحيان هيلون أكثر للتعامل مع مدققيهم الخارجيين. هذا بالإضافة إلى أن الإدارة 
العليا وأعضاء لجنة التدقيق كان يتم إغراؤهم غالبا عن طريق وعود بانخفاض التكاليف 
في حال الاستعانة مصادر خارجية للقيام بعملية التدقيق الداخلي. وقد استمر إسناد 
التدقيق الداخلي لمصادر خارجية (التعهيد بالتدقيق الداخلي) في النمو خلال تسعينيات 
القرن الماضي. وبالرغم من المحاولات المبذولة من بعض الشركات المستقلة لدخول هذا 
السوقء فإن إسناد التدقيق الداخلي لمصادر خارجية استمر ليكون المجال الخاص بشركات 
المحاسبة العامة الكبرى. 

أصبحت الاستعانة بمصادر خارجية للتدقيق الداخلي مسألة بالغة الأهمية نظرا لضلوعه 
في فضيحة إنرون» فقد قامت الشركة بتعهيد مهام التدقيق الداخلي لديها بشكل شبه كلي 
إلى مكتب التدقيق الخارجي الخاص بهاء وهو مكتب آرثر أندرسون .Aruİhِer A۸۲5۵۸‏ 
حيث إن فريقي التدقيق» كلاهما يعمل بشكل رسمي بصفة موظف في مكتب أندرسون مع 
اختلاف العلاقات الخاصة بإعداد وتقديم التقاريرء فهم يعملون جنباً إلى جنب في مكاتب 
شركة إنرون. وعلى إثر سقوط شركة إنرون: ثارت العديد من التساؤلات عقب تلك الواقعة 
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عن كيف يمكن لإدارة التدقيق الداخلي تلك والتي تم التعهيد بها أن تكون إدارة مستقلة 
عن مكتب أندرسون. لقد كان من الصعب جداً في هذه الظروف التي هر بها التدقيق 
الداخلي أن تثار المخاوف لدى لجنة التدقيق المتعلقة بمدققيهم الخارجيين. وقد أصبح هذا 
التضارب ال محتمل بمثابة قضية إصلاحية في قانون ×50. 


القيود المفروضة على خدمات المدققين الخارجسن: 
نص قانون ×50 على أنه من غير القانوني بالنسبة لأي شركة من شركات المحاسبة 
القانونية (العامة) المسجلة أن تقوم بتقديم خدمات غير متعلقة بالتدقيق بالتزامن مع 
تقديم خدمات التدقيق لنفس العميل. تشمل هذه المحظورات أعمال التدقيق الداخليء 
والعديد من مجالات الاستشارات» والتخطيط الاي لمسئول كبير. والعنصر الأكثر أهمية 
هنا هو أنه من غير القانوني بالنسبة لشركات المحاسبة القانونية أن تقوم بتقديم خدمات 
التعهيد الخارجي لأعمال التدقيق الداخلي في حال كانت هي أيضا من يقوم بأعمال التدقيق. 
هذا يعني أن شركات المحاسبة القانونية الكبرى قد تكون حالياً وبشكل أساسي خارج نطاق 
التعهيد الخارجي لأعمال التدقيق الداخلي بالنسبة لعملاء التدقيق المباشرين لديها. أما 
الشركات الأخرى: متضمنا الشوكات اللستقلة المنفصلة عن شركات مستوى المحاسية العامة 
أو الشركات الاستشارية المتخصصة في التدقيق الداخلي يمكنهم الاستمرار في تقديم خدمات 
التعهيد الخارجي لأعمال التدقيق الداخلي. آما العصر الذي كان فيه من الممكن أن يصبح 
أحد أخصائيي التدقيق الداخلي متعاقدا أو موظفا في شركة المحاسبة العامة الخاصة به أو 
نها قد اه 
إضافة إلى الحظر المفروض على تقديم خدمات التعهيد الخارجي لأعمال التدقيق 

الداخلي» فإن قانون ×50 هنع مكاتب المحاسبة القانونية من تقديم خدمات أخرى منها: 
- تصميم نظم المعلومات امالية وتطبيقاتها: كانت مكاتب ال محاسبة القانونية ولسنوات 

عديدة تقوم بتثبيت نظم مالية - تكون غالبا من تصميمها الخاص - لعملائها من 

الشركات. ثم يعودون بعد ذلك لمراجعة الضوابط الداخلية لتلك النظم التي قاموا للتو 

بتركيبها - ويعد هذا تضارباً كبيراً في المصالح, وم يعد هذا مسموحا به. 
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- مسك الدفتر والخدمات المتعلقة بالقوائم المالية: كانت مكاتب المحاسبة العامة في 
السابق تقوم بتقديم خدمات محاسبية لعملائها بالإضافة إلى قيامها بأعمال التدقيق 
وحقى بالنسبة للشركات الكبرق» فلم يكن من غير المعتاد بالنسبة للفريق المسقول عن 
عملية تدقيق القوائم المالية بالكامل أن يقوم أيضا بإجراء الكثير من الأعمال اللازمة لبناء 
القوائم المالية الموحدة (المجمعة) النهائية. مرة أخرى يعد هذا تضاربا محتملا في المصالح: 
وهذا غير مسموح به. 

- الوظائف الإدارية ووظائف الموارد البشرية: قبل صدور قانون <50, كانت مكاتب التدقيق 
الخارجي هي التي تقوم غالبا باختيار عدد من المهنيين العاملين لديها وتساعد في انتقالهم 
إلى مناصب إدارية لدى العميل. وكانت النتيجة إيجاد بيئة يكون فيها كل مديري الحسابات 
تقريبا في المؤسسة هم من خريجي مكتب التدقيق الخارجي التابعين له. وقد كان ذلك 
محبطا أحيانا بالنسبة للمدققين الداخليين وغيرهم من الذين لا ينتمون لمكتب المحاسبة 
القانونية نفسه . وبدت فرص الحصول على ترقية فوق مستوى معين محدودة بسبب شبكة 
علاقات أو اتصالات "التلميذ السابيق”' 010-00 مع مكتب التدقيق الخارجي. 

- خدمات أخرى محظورة: ينع قانون ×50 مكاتب التدقيق الخارجي بصورة خاصة من 
تقديم الخدمات الاكتوارية (المتعلقة بحسابات التأمين) والخدمات الاستشارية المتعلقة 
بالاستثمار والخدمات القانونية ذات الصلة بتدقيق الحسابات. بالرغم من السماح لهم 
بتقديم الخدمات الضريبية. 

إن الموضوع العام لقانون ×50 هنا هو أن المدققين الخارجيين مخولون للراجعة القوائم 

المالية الخاصة بعملائهم من المؤسسات. وهذا كل ما في الموضوع. يسمح قانون :50 

بتجاوز الأنشطة المحظورة التي تم ذكرهاء حيث يمكن للمدققين الخارجيين المشاركة في 

تقديم الخدمات الأخرى غير المتعلقة بالتدقيق فحسب إذا كانت هناك موافقة مسبقة من 

قبل لجنة التدقيق على تقديم تلك الخدمات. فمع الفحوصات المتزايدة التي تقوم بها 

لجان التدقيق في ظل قانون «500,: اصبح العديد يشعرون بالقلق جراء محاولة مصادقة أي 

شيء يبدو أنه خارج عن المألوف إطلاقا. 


(*) العلاقات والروابط الاجتماعية والتجارية بين التلاميذ السابقين. (المترجم). 
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الموافقة المسبقة من لجنة التدقيق على الخدمات: 
يوضح البند ٠١7‏ من الباب الأول لقانون :50 أنه يجب أن توافق لجنة التدقيق على 
جميع الخدمات المتعلقة وغير المتعلقة بالتدقيق بشكل مسبق. وعلى الرغم من أن لجان 
التدقيق كانت تفعل أو كان يجب عليها أن تفعل ذلك طيلة الوقت» فإن تلك التصديقات 
أو ا موافقات كانت في كثير من الأحيان أكثر بقليل من مجرد إجراء شكليء وذلك قبل 
صدور قانون ×50. فقد كانت لجان التدقيق في شبكة "التلاميذ السابقين" وتزه8- 010 
ناشن غالباً ما هو أكثر قليلا من مجرد مذكرة مختصرة مكتوبة أو رسالة شفوية من الإدارة 
المسؤولة عن التدقيق والتي كانت تَعْتَمَد بالطريقة التقليدية نفسها التي كانت تَعْتَمّد بها 
في كثير من الأحيان محاضر الاجتماعات. وجاء قانون ×50 ليغير كل هذاء فالآن قد يعرّض 
أعضاء لجنة التدقيق أنفسهم للمساءلة القانونية أو إقامة دعاوى قضائية ضدهم من قبل 
أصحاب المصالح في حال سماحهم بحدوث أي عمل من الأعمال المحظورة. 
بالطبع فإن هناك العديد من الأمور الثانوية المتعلقة بأنشطة المدققين الخارجيين التي 
ليس من الضروري أن تمر من خلال تلك العملية الرسمية والخاصة بالموافقة المسبقة من 
قبل لجنه التدقيق. 
وباستخدام المصطلحات القانونيةء فإن قانون ×50 يضع الحد الأدنى لقواعد الاستنناء" 
من معظلبات الحصول خان إذق لحك التدقق.. قوفقا لقانون 5622 قان اللواققة ا ةة 
ليست ضرورية بالنسبة لبعض الخدمات التي لا تتعلق بالتدقيق إذا كان: 
- القيمة الإجمالية بالدولار الأمريكي للخدمة المقدمة لا تتجاوز 0> من إجمالي رسوم عملية 
التدقق الخارجى المدفوعة من قبل الشركة خلال السنة اطالية التى قدمت فيها تلك 
الخدمات. ۰ ١‏ 
- كانت الخدمات المقدمة غير متعارف على أنها خدمات تتعلق بالتدقيق من قبل الشركة 
في الوقت الذي بدآت فيه عملية التدقيق الشامل. 
- إذا حولت هذه الخدمات لعناية لجنة التدقيق وتم الموافقة عليها قبل إتمام عملية 
التدقيق. 
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دمت تلك الاسغناءات بحض الكروتة للمدققين الخارجية ولجنة التدقيق. 'فضلا عن أن 
طبيعة ومجموع القيمة الدولارية لهذه الخدمات الإضافية التي لا تتعلق بالتدقيق يجب 
متابعتها بعناية طوال السنة المالية للحفاظ على مستوى معين من الامتثال. ولا بد من إشراك 
التدقيق الداخلي في هذه العملية للمساعدة في التأكد من أن جميع الخدمات الإضافية 
المقدمة لا تزال متوافقة مع قواعد قانون :50 متضمنا ذلك الإفصاح عنها للمستثمرين 
عن طريق البيان السنوي للوكيل. ويسمح ×50 بإمكانية أن تقوم لجنة التدقيق بتفويض 
سلطة الموافقة المسبقة على الخدمات التي لا تتعلق بالتدقيق لواحد أو أكثر من المديرين 
الخارجيين في لجنة التدقيق. وهذا من شأنه تخفيف الإجهاد الناتج عن الإجراءات المطولة 
للجنة التدقيق» ولكنه سيضع مسؤولية أكبر على عاتق عدد قليل من أعضاء لجنة التدقيق 
علاوة على العديد من المسؤوليات القانونية الجديدة المفروضة من قبل قانون ×50. 


تناوب شريك التدقيق الخارجي: 

صرح بند آخر (البند )۲٠۳‏ من الباب الثاني لقانون :50 أنه من غير القانوني أن يرأس 
الشريك الرئيسي لمكتب المحاسبة القانونية أية اتفاقيات لأكثر من خمس سنوات. وهي 
المسألة التي قامت مكاتب المحاسبة الكبرى بتصحيحها بشكل جيد قبل صدور قانون ×50. 
فقد كان يتم تناوب الشركاء الرئيسيين التابعين للشركات الكبرى بصفة منتظمة: على الرغم 
من أنه قد تكون هناك استثناءات بالنسبة للشركات الصغرى واتفاقيات الشراكة الأصغر 
حجما. وفي الوقت الذي شاعت فيه عملية تناوب الشريك الرئيسيء فقد اعتبر قانون ×50 
أن تقصير الشركة ف عملية التناوب يعد عملا إجراميا. فضلا عن أنء قانون 50:2 ف الواقع 
م يتناول ممارسة عامة يتم من خلالها تناوب شريك التدقيق حيث سيقوم شخص معين 
بلعب دور الرئيس أو الشريك الرئيسي لعملية التدقيق» ثم يستمر بعد ذلك في الخدمة 
كاستشاري بعد انتهاء مدته أو مدتها. ويمكن لهذا الشريك الذي يلعب دور الاستشاري 
غالبا أن يحافظ على مستوى المسئولية نفسه المعين عليه الشريك الرئيسي وقد يصبح ذلك 
انتهاكا ا لقواعد قانون <500. 

عند طباعة هذا الكتاب كانت هناك العديد من الشائعات والأقاويل التي تشير إلى أن 
مجلس الإشراف المحاسبي على الشركات المساهمة 20808 يقوم بدراسة فرض تناوب 
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كامل لمكاتب اللحاسبة القانونية (ليس تناوب شريكها). ففي الوقت الحالي قد يتم تبديل 
الشركاء ولكن يبقي المكتب دون تغيير. التفكير في أن يكون هناك مكتب جديد يمد إدارة 
المؤسسة بمنظور جديد حول عملية التدقيق. 

يتواضل اللدققون الخارجيون ذائما مع لجان التدقيق التابعين لها بضفة منتظمة طوال 
عملية التدقيق» وكذلك في حالة المسائل التي تثير المخاوف. وفي أعقاب سقوط شركة إنرون 
وغيرها من فضائح الشركات في ذلك الوقت» تم اكتشاف أن هذه الاتصالات كانت في بعض 
الأحيان محدودة للغاية. فقد يتفاوض أحد أعضاء الإدارة مع شريك المحاسبة القانونية على 
"التغاضي عن" تغيير مقترح في إحدى المعالجات المحاسبية, إلا أن لجنة التدقيق م تكن تبلغ 
بهذا الأمر إلا في ظل الشروط العامة. وهذا في حال حدوث ذلك. 

لقد غير قانون ×50 ذلك. فالمدققون الخارجيون مطالبون بالإبلاغ -على أساس زمني- 
عن كل السياسات واللمارسات المحاسبية المستخدمة. والمعالجات البديلة للمغلوفات المالية 
التي تمت مناقشتها مع الإدارةء والمعالجات البديلة الممكنة: والنهج الذي يفضله المدقق 
الخارجي. فالفكرة كلها هنا هي أنه يجب على المدققين الخارجيين أن يقوموا بإبلاغ لجنة 
التدقيق التابعين لها بأي معالجات محاسبية بديلة؛ والنهج المفضل لدق المدققين الخارجيين. 
ونهج الإدارة. هذا في الواقع يقول إنه إذا كانت هناك معالجات محاسبية مختلف عليهاء 
فإنه يجب أن تكون لجنة التدقيق على دراية جيدة بالإجراءات المتخذة حيال ذلك. ويشير 
هذا المطلب حقيقة إلى الحاجة إلى توثيق جيد للجنة التدقيق. 


تضارب المصالح والتناوب الإلزامي لمكاتب التدقيق الخارجي 
لقد كان شائعا في السابق بالنسبة لأعضاء فريق مكتب التدقيق الخارجي أن 
يحصلوا على تعيينات وظيفية لشغل مراكز مالية عليا لدى الشركات العميلة لديهم. 
وقد منع البند ۲٠١‏ من الباب الثاني لقانون ×50 المدققين الخارجيين من تقديم 
آي خدمات تتعلق بالتدقيق للشركة التي شارك رئيسها التنفيذي C٤0‏ أو مديرها 
المالي 070 أو مدير حساباتها باعتباره آحد أعضاء مكتب التدقيق الخارجي على 
عملية التدقيق نفسها خلال السنة الأخيرة. وق الحقيقة فإن هذا يعني أنه لا يمكن 
لشريك عملية التدقيق أن يتخلى عن العمل في التدقيق لدا العمل هديرا تدا 
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في الشركة نفسها التي قام للتو بتدقيق حساباتها. في حين أن الموظفين وال مديرين لا 
يزال بإمكانهم الانتقال من فريق مكتب المحاسبة القانونية لتولي مناصب مختلفة 
في الشركة الخاضعة لعملية التدقيق» فهذا الحظر يقتصر فقط على شركاء المحاسبة 
القانونية وقد كانت هناك بعض الأمثلة الواضحة على هذا التحول في الأدوار باعتبار 
ذلك جردا من محفل الأحداث الخاصة بخكة إترون. 


الباب الثالث لقانون <:50: مسؤولية الشركة: 

تحتوي اللوائح في الباب الثالث من قانون ×50 على قواعد تنظيمية رئيسية تتعلق 
بلجان التدقيق وتصف معايير أداء لجان التدقيق ومجموعة كبيرة من قواعد حوكمة 
الشركات. فبموجب قانون *50:, يجب على جميع المؤسسات المسجلة أن يكون لديها لجنة 
تدقيق مكونة فقط من مديرين مستقلين. حيث يتبع مدققو مكتب التدقيق الخارجي 
لجنة التدقيق بشكل مباشر والمسئولة عن دفع أتعابهم والإشراف على أعمال التدقيق» وحل 
أي خلافات تقع بين التدقيق الخارجي والإدارة. وبالرغم من أن الشركات الأمريكية الكبرى 
قد كان لديها لجان تدقيق» فإن هذه القواعد قد تم استنتاجها من ال ممارسات التقليدية 
القدهة. على سبيل المثال: بينما كان لدى إدارات التدقيق الداخلي في السنوات الماضية 
علاقات ضعيفة خاصة بتقديم التقارير مع لجان التدقيق التابعين لها في كثير من الأحيانء 
فإن قانون ×80 جعل هذه العلاقة أكثر قوة وأكثر فاعلية. 

يحت أن يكون كل عضو من أعضاء لجنة التدقيق التابعة للمجلس (مجلس الإدارة) 
مدير مستقلا قافا “مهب أن يكوق عمو واج عل الأقل من أعضاء تة الوقن خا 
مالا" . وقد تم طرح هذه القوانين نتيجة جلسات الاستماع التي أدت إلى صدور قانون 
×50 فقد تم اكتشاف أنه 9 من بعض أعضاء لجنة التدقيق المسؤولة عن شركة إنرون 
الذين كانوا على ما يبدو لا يعرفون الكثير عن المعاملات المالية القيام بعمليات المراجعة 
والاعتماد. وتَعَرف اللوائح التنظيمية لهيئة الأوراق المالية: والبورصة الأمريكية "الخبير 
المالي" على أنه الشخص الذي يملكء من خلال التعليم والخبرة, التالي: 
- فهم وإدراك للمبادئ المحاسبية والقوائم المالية المتعارف عليها بشكل عام. 


۵٦‏ دليل المسئول التنفيذي لحوكمة تقنية المعلومات 


المفاهيم الأساسية للحوكمة وقواعد قانون ساربينز أوكسلي :50 


- خبرة في تطبيق هذه المبادئ المحاسبية المقبولة بشكل عام وربطها بمحاسبة التقديرات 
والمستحقات والاحتياطات التي مكن مقارنتها عموما بالتقديرات والمستحقات والاحتياطات 
في حال استخدم أي منها في القوائم المالية للشركة المسجلة. 

- خبرة في إعداد أو تدقيق البيانات المالية التي تمثل القضايا المحاسبية الحالية التي مكن 
مقارنتها عموما بتلك القضايا ا محاسبية المثارة في القوائم المالية لدى الشركة المسجلة. 

- خبرة في الضوابط والإجراءات الداخلية الخاصة بالتقارير المالية. 


- فهم وإدراك مهام لجنة التدقيق. 

ولا تتطلب هذه المبادئ آي شهادات رسمية أو خلفيات أكادهية أو مؤهلات أخرى. 
فهي تنص على أنه يجب على أعضاء لجنة التدقيق أن يقدموا أنفسهم على أنهم على 
مستوى معين من المعرفة حول قضايا المحاسبة والتقارير المالية والضوابط الداخلية. ففي 
بعض الأحيان يُطلب من عضو لجنة التدقيق أن يضع نفسه أو تضع نفسها في خط المواجهة 
ف حال كانت المؤسسة يتم استجوابها دائما فيما يخص بعض القرارات الخاصة با مسائل 
المالية والرقابة الداخلية. 

ويدعو قانون ×50 أيضا لجان التدقيق إلى أن تقوم بوضع إجراءات لتلقي وحفظ 
ومعالجة الشكاوى المقدمة ومعالجة إفادات المبلغين المتعلقة بالقضايا المحاسبية ومسائل 
التدقيق المشكوك فيها. هذا في الحقيقة يعني أن لجنة التدقيق يجب أن تصبح؛ في 
الواقع: كيانا مستمرا شبه فستقل» بدلا من أن تكون مجموعة فرعية من المجلس الإداري 
التقليدي الذي يلتقي في مكان ما ويجتمع كل ثلاثة أشهر. وبينما هذا الأمر يبدو فكرة 
جيدة: فإن معظم وظائف لجنة التدقيق لا تملك مصادر داعمة لخدمة إدارة المبلغين على 
المستوى المؤسسيء ويكون هذا الأمر غالبا من اختصاص إدارة أخلاقيات العمل على المستوى 
المؤسسي. وعلى الرغم من النصوص الموجودة في قانون ×50 فإنه يتم تشغيل الإدارات 
الخاصة بالمبلغين على مستوى لجنة التدقيق في الأساس بحسب الظروف. 

كانت الشركات الامريكية قبل صدور قانون ×80 تقوم بحفظ قوائمها المالية داخل 
ملفات لدى هيئة الأوراق المالية والبورصة الأمريكية: ولكن لم يكن مديرو الشركات 
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المسؤولون الذين وقعوا على هذه التقارير الطالية يتحملون أية مسؤوليات شخصية. الآن 
تم إزالة هذه العقبة. وأصبح واجبا أن يصدق الرئيس التنفيذي 080 أو المسؤول امالي 
الأساسي أو غيرهم ممن بمارسون مهام مشابهة على كل تقرير مالي سنوي أو ربع سنوي تم 
إرساله. لذلك يجب على المسئول الذي يقوم بالتوقيع» وكجزء مما أشير إليه بالبند ٠۲‏ 
أن يشهد: 
- أن الموظف الذي يقوم بالتوقيع على التقرير قد قام بمراجعته. 
- بناء على معرفة هذا الموظف الموقع, فإن القوائم المالية لا تحتوي على آي معلومات مادية 
مضللة أو غير صحيحة. 
- مرة أخرى فإنه بناء على معرفة الموظف الذي يقوم بالتوقيع: فإن القوائم المالية تمثل 
بعدالة الأوضاع والنتائج المالية لعمليات التشغيل في المؤسسة. 
- أن المسئول الذي يقوم بالتوقيع مسؤول عن: 
0 وضع ضوابط داخلية والحفاظ عليها. 
0 أن تكون تلك الضوابط الداخلية قد صممت لضمان أن المعلومات الجوهرية عن الشركة 
والشركات التابعة لها قد تم إعلامها للمسئول الموقع خلال الفترة التي تم فيها إعداد التقارير. 
ه أن تكون الضوابط الداخلية في المؤسسة قد تم تقييمها في غضون 40 يوما قبل إصدار التقرير. 
© أن تشتمل هذه التقارير المالية على تقييم الموظف ال لوقع لفاعلية تلك الضوابط 
الداخلية حتى تاريخ التقرير. 
- يجب أن يفصح المسئول ال موقع للمدققين الخارجيين وللجنة التدقيق ولمديرين آخرين 
- ويجب أيضاً على المسئول الموقع أن يشير إلى ما إذا كان هناك ضوابط داخلية أو تغيرات 
أخرى قد أثرت بشكل جوهري في تلك الضوابطء وإلى الإجراءات التصحيحية التي جاءت 
بعد تاريخ تقييم الضوابط الداخلية. 
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من ال معلوم أن قانون ×50 يفرض عقوبات جنائية محتملة سواء بالغرامة المالية آم 
بالسجن على الأفراد المخالفين للقانون» كما أن المتطلبات الخاصة بحوكمة المؤسسة التي 
قامت بالتوقيع تضع عبئا ثقيلاً على كاهل المسؤولين في الشركة. لذلك يجب على المسؤولين 
في الشركة أخذ كل التدابير اللازمة للتأكد من التزامهم بالقانون. 

وقد أثار هذا المطلب الخاص بالتوقيع الشخصي مخاوف كبيرة لدى الرؤساء التنفيذيين 
9 واطديرين الماليين 0109 في الشركات كما تسبب في وجود قدر كبير من العمل الإضافي 
بالنسبة لموظفي قطاعي المحاسبة والمالية من أجل تحضير تلك التقارير وكذلك للمسئولين 
الموقعين. تحتاج المؤسسة لوضع إجراءات تفصيلية لمعالجة البيانات الظاهرة في أسفل 
الونيقة بحيث يكون المديرون الموقعون مطمئنين إلى استخدام عمليات فعالة وحسابات 
لإعداد تقارير جميعها موثقة بشكل جيد. قد ترغب المؤسسة في استخدام عملية مطولة 
للحصول على التوقيعات النهائيةء التي يتم استخدامها لكي يقوم الموظفون الذين يُسلمون 
التقارير المالية بالتوقيع على ما يقومون بتسليمه. الشكل التوضيحي (۳-۲) يوضح مثال لأحد 
أنواع الإقرارات الخاصة بموافقة المسئول على الإفصاح والتي يطلب من المسؤولين التوقيع 
عليها. وبالرغم اف هذا الإقرار الموضح في هذا الشكل ليس أحد النماذج الرسمية الخاصة 
مجلس الإشراف المحاسبي على الشركات المساهمة: فإنه يستند إلى وثائق هيئة الأوراق المالية 
والبورصة الأمريكيةء ويوضح أنواع الأمور التي سيطلب من المدير المسؤول التصديق عليها. 
لقد قمنا بتسليط الضوء على عبارتين من العبارات الموجودة في الشكل التوضيحي (۳-۲) 
بوضعهما بخط عريض ومائل. وفقا لقانون ×80 فإن الرئيس التنفيذي 080 أو المدير المالي 
0 مطالب بالتصديق الشخصي على هذه الأنواع من البيانات وقد يكون عرضة لمساءلة 
جنائية في حالة عدم صحة ما صدق عليه. وعلى الرغم من المخاطرة التي يتعرض لها المدير 
المسئول» فإنه يجب على فريق الدعم» متضمنا ذلك المدققين الداخليين» أخذ كل الاحتياطات 
اللازمة والممكنة للتأكد من صحة البيانات المقدمة للمسؤول الأعلى. 


الباب الرابع لقانون <500: تعزيز حالات الإفصاح عن البيانات المالية: 


تم تخصيص هذا الباب من قانون :500 لتصحيح بعض الملشاكل اللمتعلقة بالإفصاح 
عن التقارير المالية وللتشديد على قواعد تضارب المصالح بالنسبة للمسئولين والمديرين» 
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وإلزام الإدارة بعمل تقييم للضوابط الداخلية» والمطالبة بعمل مدونة لقواعد السلوك 
خاصة بكبار المديرين وغيرها من الأمور. حيث يوجد هنا العديد من الأدوات. إن 
العديد من حالات الإفلاس غير المتوقعة والإخفاقات المفاجئة في جني الأرباح التي 
وقعت تقريباً في الوقت الذي انهارت فيه شركة إنرون نحو عام ۲۰۰۲ م قد نُسبت إلى 
تقارير مالية شديدة العدوائيةء إن م تكن محل شاك. فقد لجأت الشركات وبلا حدوة 
ويموافقة المدققين الخارجيين إلى اتباع بعض الأساليب غير اللائقة كالإعلان عن أرباح 
وهمية غير صحيحة في النتائج المدونة في التقاريرء أو القيام بتحويل مقر قيادة الشركة إلى 
الخارج لتقليص حجم الضرائب. وعلى الرغم من أن هذه الأساليب كان يُسمح بها سابقا 
وفقا للمبادئ المحاسبية المقبولة قبولا عاما 644۴ وال معايير الدولية لإعداد التقارير 
المالية Financial Reporting Standards (IFRS)‏ اnternationa[)‏ وبعض القوانین 
الموضوعة وقتهاء فإن قانون ×50 قد غير هنا العديد من القواعد وجعل من الصعب أو 
من غير القانوني استخدام مثل هذه الأساليب في الإفصاحات الالية. 

إحدى الأساليب التي شاعت وقتهاء هو ما كان يطلق عليه تقارير مالية صورية وقد 
استخدمت هذه الأساليب مراراً وتكراراً لتقديم صورة "وصفية" عن الوضع المالي للشركة 
من خلال إغفال نفقات الأرباح غير المتكررة مثل تكاليف إعادة الهيكلة أو التكاليف 
المتعلقة بالاندماج. من ناحية أخرى. فبسبب عدم وجود تعريف معياري موحد أو 
شكل ثابت للتبليغ عن الأرباح الشكلية: واعتمادا على الافتراضات المستخدمة: فقد 
كان من اللمكن أن قضبح خساثر التفغيل أرباعا ق تقارين الأرباح الضوزية.. كافت 
المشكلة بالنسية لهاتين ال مجموعتين من الأرقام أن المستثمرين والصحافة في معظم 
الأحيان يتجاهلون آرقام الميادئ المحاسبية المقبولة قبولا اما GA‏ ويركزؤن أكثر 
على النتائج الشكلية التي يفضلونها. تتطلب القواعد الإلزامية لقانون ×50 أنه يجب 
لا تحتوي القوائم المالية ا معلنة على أي بيانات مادية غير حقيقية أ أو أن تهمل أبة 
حقيقة ممكن أن تجعل التقرير مغللا اضافة إل ذلك فان النتائج الصوورية أيضا 
يجبا أن تتوافق مع الظروف والنتائج امالية لعمليات التشغيل وفقا للمبادئ اللحاسبية 
المقولة قولا عاما 4 4ة؛ 
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شكل توضيحي (7-7) 
إقرار المسئول بالإفصاح طبقا لقانون ×>$0 
إقرار الموظف بخصوص الامتثال لقانون ×50 
هذه شهادة إحاطة بأننا نعتزم الاعتماد على هذه البيانات» وإن ال موقع أدناه يشهدء ويقدم ويتعهد 
لكل منها (هذه البيانات) وللشركة بالتالي: 
.١ |‏ أنني قرأت تلك الأجزاء من المسودة المرفقة بالمغلف والتي تتصل بشكل مباشر بنطاق مسئوليتي 
كموظف بالفكة ("المعلومات المعتهدة"). 
| ۲. استنادا إلى معرفتي فإن المعلومات المعتمدة وحتى نهاية الفترة التى يغطيها هذا ا لملغلف لا تحتوي على 
بيان مالي غير صحيح لأي واقعة مادية ولم تهمل الإفصاح عن واقعة مادية ضرورية تجعل البيانات - في 
ظل الظروف التي أعدت فيها البيانات - غير مضللة. 
. استنادا إلى معرفتى فإنه في حدود نطاق المعلومات المعتمدة: فإن المعلومات المعتمدة قد تم 
| تقدهها بصورة نزيهة. في جميع النواحي الجوهرية: والوضع الماليء ونتائج العمليات» والسيولة النقدية 
للشركة كما في نهاية الفترة المعروضة في المغلف أو على مقربة منها. 


». لست على علم بأي قصور في فاعلية ضوابط وإجراءات الإفصاح الخاصة بالمؤسسة والتي قد تؤثر 
| بصورة سلبية في قدرة الشركة في تسجيلء ومعالجة. وتلخيصء وإعداد تقرير عن المعلومات ال مطلوب 


5. لست على علم بأي قصور ملموس أو نقطة ضعف جوهرية في تصميم وتشغيل الضوابط الداخلية 
في الشركة والتي قد تؤثر بصورة سلبية على قدرة الشركة في تسجيلء ومعالجة. وتلخيص وإعداد تقارير 
البيانات اطالية. 


| ”. لست على علم بأي احتيال» سواء كان ماديا أم غير مادي» فيما يخص إدارة الشركة أو موظفين 
آخرين من الذين يلعبون أدوارا أساسية في الضوابط الداخلية للشركة. 


التوقيع: 

التاريخ:. يومف _ _ _ ٠٠××‏ 
الاسم: 

اللسمى الوظيفي: 
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ربما كانت القضية الأبرز التي أسهمت في إسقاط شركة إنرون هي وجود عدد كبير 
من المعاملات الخارجة عن الميزانية العامة التي لو تم دمجها بالتقارير المالية ا معتادة 
لاتضحت المشاكل اطالية الرئيسية. وبمجرد اكتشافها وتضمينها مع النتائج المالية الأخرى 
لشركة إنرون والإفصاح عنهاء قد دفع ذلك شركة إنرون نحو الإفلاس. أما الآن فيشترط 
قانون ×50 إعداد تقارير ربع سنوية وسنوية للإفصاح فيها عن مثل هذه العمليات 
التي تتم خارج الموازنة والتي قد يكون لها تأثير جوهري ف التقارير المالية الحالية أو 
المستقيلية. قد تتضمن هذه العمليات التزامات طارثة «Contingent obligations‏ 
أو علاقات مالية مع كيانات غير موحدة: أو أمور أخرى قد يكون لها تأثيرات مادية 
على عمليات التشغيل. تشترط القواعد النهائية هنا - بعد تمرير قانون ×50 - أن 
تقوم كل مؤسسه بتقديم توضيح عن إجراءاتها المتعلقة بالخروج عن الليزانيه 'مناقشة 
وتحليل الإدارة" Management's Discussion and Analysis (M D&A)‏ في النموذج 
السنوي 10۸. 


أحكام وافصاحات وقواعد أخلاقية موسعة لمعالجة تضارب المصالح: 

صورت جلسات الاستماع التي أدت إلى إقرار قانون ×50 في كثير من الأحيان مسئولي 
ومديري الشركات بأنهم جشعون وطماعون بشكل كبير. فبعض الإجراءات كانت تبدو 
متضاربة في المصالح: بدلات الانتقال الضخمة أو القروض الشخصية التي مُنحت للمديرين 
التنفيذيين في الشركات وتم إعفاؤهم من سدادها بعد ذلك بأمر من مجالس إدارة الشركات» 
فالرئيس التنفيذي 0180 على سبيل اللثال» عندما يطلب من مجلس إدارة الشركة أن يتم 
منح قرض شخصي لديره المالي C۴۵‏ بشروط سداد غامضة مع أحقية المطالبة بسداده أو 
الإعفاء منه؛ فإن هذا بالتأكيد يخلق حالة من تضارب المصالح. وعلى الرغم من أن هناك 
مجموعة من الاستثناءات المسموح بهاء فإن قانون ×50 اعتبر أنه من غير القانوني بالنسبة 
لأي شركة أن تقوم. سواء بشكل مباشر أو غير مباشر بتمديد الائتمان - المعطى في صورة 
قرض شخصي - لأي مسئول أو مدير. 

ولكونه أحد العناصر الهامة في الحوكمة المؤسسية؛ يطالب قانون :501 جميع المؤّسسات 
باعتماد مدونة خاصة بقواعد السلوك المهني وأخلاقيات المهنة لكبار المديرين اماليين لديها 
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وأن تفصح عن الالتزام بهذه المدونة باعتبارها جزءا من تقاريرهم الماليه السنويه. وق 
الوقت الذي جعل فيه قانون :50 هذا الأمر أحد المتطلبات الخاصة بكبار المسؤولينء 
فقد كانت هناك مدونات معتمدة لقواعد السلوك الوظيفي والأخلاقي في بعض المؤسسات 
لسنوات عديدة. وقد قامت تلك المؤسسات بتطويرها إلى إدارات أكثر رسمية لأخلاقيات 
المهنة في الشركات الكبرى» وكان ذلك في مطلع التسعينيات من القرن الماضي؛ إلا أنها كانت 
توضع الام ل الموظفين والمشرفين بدلا من وشا مسئولي الشركات. وقد تم في هذه 
المدونات تعريف مجموعة من القواعد أو السياسات التي تم تصميمها لتطبق على جميع 
الموظفين: والتي شملت العديد من المسائل مثل السياسات المفروضة على حماية سجلات 
الشركة أو السياسات المفروضة على قبول الهدايا وغيرها من القضايا والفوائد الأخرى. 

في ظل نمو الاهتمام العام حول الحاجة إلى ممارسات قوية للحوكمة وأخلاقيات العمل 
فقد قامت العديد من المؤسسات بتعيين موظف مسؤول عن أخلاقيات المهنة لإطلاق مثل 
تلك المبادرة. من خلال مدونة لقواعد السلوك في خطوة أولى. وم يتناول قانون :501 
محتوى مدونة أخلاقيات المهنة هذه على مستوى المؤسسة: ولكن ركز على الحاجة إلى 
ا معايير نفسها بالنسبة لكبار ال مسؤولين كما هي لجميع الموظفين الآخرين في الشركة. كما 
يطالب قانون ×50 على وجه التحديد أنه يجب على مدونة قواعد السلوك المهني أو مدونة 
أخلاقيات أيه العامة كبا عسوي المؤسسة أن تعزز وبصورة معقولة: 
- السلوك النزيه والأخلاقي» م: معضهنا ذلك التعامل الأخلاقي مع التضارب الفعلي أو الظاهري 

في المصالح بين العلاقات الشخصية والعلاقات المهنية. 


1 إفصاح شامل ودقيق وعادل ق الوقت المناسب ومفهوم ٤‏ التقارير اطالية للمؤسسة. 
- الامتثال للقوانين واللوائح الحكومية المعمول بها. 

إذا كانت المؤسسة تمتلك مدونة خاصة بالقواعد السلوكيةء فيتعين على الإدارة التأكد من 
أن هذه المدونة يتم تطبيقها على جميع أعضاء المؤسسة. وأنها متوافقة مع قانون ×50 
وأن هذه القواعد الأخلاقية قد تم الإفصاح عنها إلى جميع أعضاء المؤسبة: متضعنا ذلك 
المسؤولين. إن القضية الجوهرية للحوكمة هنا هى التأكد من أن المدونة الحالية لقواعد 
السلوك تغطي قواعد قانون ×50 السابقة: وأنه قد تم إيصالها إلى الإدارة العلياء وأن هؤلاء 
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المسؤولين قد وافقوا على الالتزام بها. وعلى الرغم من أن عمليات وإجراءات الامتثال 
بقانون ×50 قد وضعت فقط لكبار المديرين ف المؤسسة:. فإنه هذا هو الوقت المثالي 
لإطلاق إدارة أخلاقيات المهنة في جميع أنحاء المؤسسة والتي يمكن تطبيقها على الإدارة 
العليا وكذلك جميع الموظفين. 

ليس الأمر مطلبا شرعيا لقانون ×80 فحسب. إذ إن مجموعة فعالة من المعايير 
الأخلاقية يمكن أن تعبر بالمؤسسة من وضع كارثي وتساعدها على التحول في الاتجاه الصحيح. 
كان الدافع وراء سن قانون ×50 وأحكامه القوية في هذه المجالات هو إدراك أن بعض 
مسئولي الشركات كانوا يعملون بهدف تحقيق مصالح ومكاسب شخصية دون أي اعتبار 
للقيم الأخلاقية الراسخة كما ثبت من خلال التقارير المالية الدقيقة والسليمة. وتستطيع 
المتطلبات الأخلاقية للمهنة في قانون ×50 أن تساعد أي مؤسسة على أن تضع لنفسها قدما 
من أجل تحسين الممارسات المتعلقة بالحوكمة وسلوكيات الأعمال الأخلاقية بشكل أفضل. 


قواعد ومتطلبات أخرى لقانون :50: 

يتضمن قانون 5017 مجموعة كبيرة ومعقدة من القواعد والأحكام التي تغطى مجالات عديدة 
كالمتطلبات الخاصة بحوكمة لجنة التدقيق» وتضارب مصالح المحلل الأمني وغيرها من قواعد 
الإفصاح المالي. لسنا هنا بصدد تقديم شرح تفصيلي عن كامل القانون وأحكامه. فمن منظور 
الحوكمة المؤسسية وحوكمة تقنية المعلومات» فإن فهم وإدراك البند 6٠6‏ وبعض القضايا الأخرى 
التي تم تسليط الضوء عليها في هذا الفصل رها يكون هو الأكثر أهمية. ويمكن إيجاد الوصف 
العام الأكثر تفصيلا لقانون :50 في الكتاب الذي أشار إليه المؤلف سابقا حول قانون 501. 

يعد قانون ×50 منذ إقراره قانوناً أمريكيا في مطلع التسعينيات من القرن الماضي أحد 
العناصر الهامة في التشريع» فقد أسهم منذ ذلك الوقت في تغيير العديد من القضايا المتعلقة 
بالتقارير المالية. والممارسات الخاصة بالرقابة الداخليةء والحوكمة المؤسسية. وعلى الرغم 
من بعض التغيرات التي طرأت على بعض عناصر قانون ×50 منذ صدوره وأن متطلباته 
لا تثير الكثير من الاهتمام. فإن معظم جوانب قانون ×50 لاتزال فعالة وقابلة للتطبيق. 
لقد كان الجزء الأكبر في التغيير هو إطلاق معيار التدقيق رقم 0 455: وقد تمت مناقشته 
من قبلء وهو أحد معايير التدقيق التي تصف نهجا أكثر اعتماداً على المخاطر لمراجعة 
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وتقييم الضوابط الداخلية. وقد احتوى قانون ×50 في الأصل على بعض القواعد الخاصة 
بالتبليغ عن المخالفات التي سمحت لجميع ال موظفين بكتابة تقارير بصورة مستقلة للتبليغ 
عن أي احتيال مالي محتمل. وكانت تصرف مكافآت وحوافز مادية لأصحاب تلك التقارير 
الشخصية الخاصة بالتبليغ. وعلى الرغم من أنه كان من المفترض أن يتسبب ذلك في عاصفة 
من الدعاوي القضائيةء فإنه لم يكن هناك الكثير منها لأي نشاط من الأنشطة الخاصة 
بقانون ×80 في هذا الجانب منذ إقراره وتمريره. 


وعلى الرغم من أنه سيتم تناول العديد من التفاصيل الخاصة بهذا القانون من قبل 
كن سن الإدازة اكالية والكدهقين'الداغلية والكارحين فاه يهب أن يكوق لفن ستول 
التنفيذي للأعمال اليوم إدراك عام جيد لقواعد ومتطلبات قانون <:50. كما يجب أن 
يساعد الوصف العام لهذا القانون الذي جاء في ثنايا هذا الفصل مسئول الأعمال التنفيذيين 
اليوم على فهم قانون ×50 وأهميته في حوكمة تقنية المعلومات على نحو أفضل. 


ما المقصود بحوكمة تقنية المعلومات: 
كماهو موضح في مقدمة هذا الفصلء فإن نظام حوكمة تقنية المعلومات'11 
© عبارة عن مجموعة فرعية من القضايا الشاملة لحوكمة اللؤسسات وأحد 
العناصر الهامة للغاية في هذا المجال. لا يوجد تعريف واحد معتمد لحوكمة تقنية 
المعلومات: ويوضح البحث من خلال شبكة الإنترنت أن حوكمة تقنية المعلومات تعني 
أشياء مختلفة لأشخاص مختلفين: ) 
- تستخدم حوكمة تقنية المعلومات في كثير من الأحيان لوصف العمليات الضرورية لاتخاذ 
قرار بشأن الأموال التي يجب إنفاقها على موارد تقنية المعلومات. تتضمن عملية حوكمة 
تقنية المعلومات هذه وضع أولويات للاستثمارات في تقنية المعلومات وتبريرها. كما 
تتضمن الضوابط المفروضة على الإنفاق مثل الموازنات ومستويات الصلاحية. 
- تستخدم حوكمة تقنية المعلومات في كثير من الأحيان لوصف العديد من الجوانب 
المختلفة في التغيرات التي تطرأ على تقنية المعلومات. فعلى المستوى الأدنى» قد تستخدم 
في بعض الأحيان لوصف إدارة المشاريع والتحكم في محفظة المشاريع المتعلقة بتقنية 
المعلومات. كما هو موضح في الفصل السادس عشر من هذا الكتاب. 
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- تستخدم حوكمة تقنة ال ملعلومات لضمان امتثال عمليات التغيير ف تة تقنة ال معلومات 
للمتطلىات التنظيمصية ا كانت قوانين ولوائح حكومبة آم معابير مهنية. 


- حوكمة تقنية المعلومات هي عملية المواءمة بين التغيير المطلوب ف تقنية المعلومات 
والإنفاق عليها وبين متطلبات الأعمال ونفقاتها. وقد تشمل حوكمة تقنية ا لمعلومات في 
بعض الأحيان أنضا آلية توزيع وانتشار فريق تقنية ال معلومات. 
_ تخد جوكفة ثقنبة المعلوهات خا لوضف إذارة وشظ كات نقمة المصلومات. 
على سبيل الطثال» تستخدم اتفاقيات مستوى الخدمة service level agreements Š5LAS‏ 
(التي سنتحدث عنها ق الفصل السابع عشر من هذا الكتاب) لتحديد مستويات الخدمة 
المقبولة للأعمال؛ ثم استخدمت بعد ذلك أساسا لمتابعة الخدمات. 
- تضمن حوكمة تقنية المعلومات حل المشاكل اليومية وكذلك دعم جميع موارد تقنية 
امعلومات لتتماشي مع متطلبات العمل. 
تتعامل حوكمة تقنية المعلومات بشكل أساهمي مع العلاقة بين تركيز أعمال المؤسسة 
(ما تركز عليه أعمال المؤسسة) وإدارة وتشغيل تقنية المعلومات في المؤسسة. يبرز مفهوم 
حوكمة تقنية المعلومات أهمية الأمور المتعلقة بتقنية المعلومات» كما يؤكد ضرورة 
أن تكون القرارات الإستراتيجية لتقنية المعلومات بيد أعلى مستويات الإدارة في الشركة 
متضمنا مجلس الإدارة بدلا من أن تكون بيد إدارة تقنية المعلومات فقط مثل الرئيس 
التنفيذي للمعلومات 010). في الواقع. لقد تطورت مفاهيم حوكمة تقنية المعلومات منذ 
الآيام الأولى لظهور تقنية المعلومات عندما تخلت الإدارة العليا في كثير من الأحيان عن 
سلطة عمليات تشغيل تقنية المعلومات وتمويلها لصالح أخصائيين يُطلق عليهم الرؤساء 
التنفيذيون للمعلومات 1005).: ولكنهم م يديروا موارد تقنية ا معلومات بقوة من منظور 
الإدارة الشاملة. 
وقد كانت نتائج تلك العملية ي الواقح متمثلة في ظهور بعض العمليات ال ممتازة 
لتقنية المعلومات التي أحدة قن وا 5 في العديد من الشركات الرائدة ٤‏ جميع أنحاء 
العام وحسنت من كفاءاتها وزادت من 22 ومع كل ذلكء فقد عانت العديد من 
المؤسسات الأخرى من بعض الإخفاقات الجسيمة (الانهيار الكلي) في تقنية المعلومات» 
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وكان ذلك بسبب التخطيط السيئ للمشروعاتء تجاوز التكاليف. وإخفاقات على مستوى 
فهم القائمين على الأعمال وتقنية ا معلومات لقضايا تقنية المعلومات. وغيرها من الأمور. 
على سبيل المثال» كشف استطلاع رأي اك وة غارتار في عام 1ل أن اهن 
مجموع الأموال التي تم إنفاقها على تقنية المعلومات قد أهدرت» وهذه النتيجة تمثلء 
على الصعيد العالميء تدميرا لما قيمته الإجمالية قرابة ٠٠١‏ مليار دولار أمريكي سنويا. 
وقد كشف الاستطلاع الذي أجرته شركة آي بي إم (182/1) سنة 7٠١6‏ لأكبر ٠٠٠١‏ من 
الرؤساء التنفيذيين للمعلومات 0105 بأنهم يعتقدون أنء في المتوسطء قرابة <٤٠‏ من 
مجمل الإنفاق على تقنية ا لمعلومات م يحقق أي عوائد للمؤسساتهم”. وفي السنوات 
الأخيرة. كشفت استطلاعات رأي أخرى أن ما بين <۲١‏ إلى *٠٠١‏ من الاستثمارات الضخمة 
في مشاريع تقنية المعلومات يتم إهدارها بصفة مستمرة مما يعد عائقاً أو إخفاقا فى 
تحقيق أي عوائد أو فوائد لمؤسساتهم. كل ذلك يشير إلى الحاجة إلى نظم قوية لحوكمة 
نقنية المعلومات المؤسسية: فبدلاً فن الجدل القائم حول ديد التحعريف الأفضل 
والأصلح لحوكمة تقنية المعلومات» فإنه يجب على كبار مديري المؤسسات النظر إلى 
عتاصر التقابه بين جميع التعريفآت الواردة.. فقي كل عالة تقريبا تشعمل الحوكمة عل 
مزب هما ياي 
- التحكم في جميع الجوانب الخاصة بعمل تقنية المعلومات. 
- التنسيق بين الأجزاء المختلفة للأعمال المرتبطة بتقنية المعلومات - مثل تطوير النظم 
الجديدة للبنة التحتية لتقنية المعلومات. 
- قياس مخرجات نظم وعمليات تقنية ا معلومات. 
- الامتثال للسياسات الداخلية لتقنية ال معلومات. 


- تترير الانفاق على جميع موارد تقنة ا ملعلومات. 
- امساءلة والشفافية على مستوى إدارة تقنية المعلومات والمؤسسة. 
- روابط قودهة ص الاحتياجات الخاصة بعملاء تقنية املعلومات» وواسعة النطاق للمؤسسة: 


دلبل المستول التنفيذي لحوكمة تقنية المعلومات 1۷ 


الفصل الثانى 


إن العديد من قضايا حوكمة تقنية المعلومات تلك معنية بسمات نظم تقنية المعلومات 
نفسها متضمنه قضايا التقنية الحديثة. والنظم القديمة التي تست تستخدم تقنيات قدهة» الأمن 
والتوثيق» والعديد من القضايا الأخرى. إن معالجة مثل تلك المسائل الخاصة بحوكمة تقنية 
المعلومات ليست بالأساس مسألة تقنيةء وإنما هي مسألة إدارية. 

لعل السمة الأبرز في القضايا الخاصة بحوكمة تقنية ا لمعلومات في هذا الفصل وغيره 
من الفصول اللاحقة هي أن موارد وقدرات تقنية المعلومات في المؤسسة لم تعد شيئاً 
غير مفهوم من جانب الأعمال في المؤسسة:. على الجانب الآخر يتعين أيضا على تقنية 
المعلومات هذه أن تفهم الأعمال واحتياجاتها. يجب أن تكون القضايا الجوهرية لتقنية 
المعلومات إحدى المسائل التي تخص المديرين ن التنفيذيين على مستوى مجلس الإدارة, إلا 
اناس الطبيعة التقنية لتقنية المعلومات قد تت ك بعض القرارات الرئيسية لأخصائيي 
تقنية المعلومات. إن حوكمة تقنية المعلومات عبارة عن النظام الذي ملك فيه جميع 
أصحاب المصالح» ومن ضمنهم مجلس الإدارة والعملاء المحليون وغيرهم كاطالية 
المدخلات الضرورية لعملية صنع القرار. 

ستناقش الفصول التالية العديد من الجوانب والافتراضات المتعلقة بحوكمة تقنية 
ا معلومات. وستركز بشكل عام على قضايا ا مخاطر المؤسسية. وقضايا حوكمة تقنية 
المعلومات: ومسائل قانونية ونظامية وقضايا أمن المعلومات: والتهديدات الداخلية 
والخارجية التي تؤثر في حوكمة تقنية المعلومات. 

تتوافق جميع أهداف حوكمة تقنية المعلومات داخل نموذج شاملء كما هو موضح 
بالشكل التوضيحى .)٤-١(‏ تكون حوكمة تقنية المعلومات محاطة مفاهيم إدارة الأداء 
والتوافق الإستراتيجي. وإدارة المخاطرء وتوصيل القيمه. ولتحقيق ذلك» هناك حاجه إلى 
سياسة قويةء وممارسات امتثال» وعمليات لإدارة الأداء وا مخاطرء وفهم شامل للتوصيل 
ا مناسب للقيمة. يعرض الشكل التوضيحي )٤-۲(‏ هذه المفاهيم على مستوى رفيع» غير أنه 
سيتم الرجوع إليها بالتفصيل في فصول لاحقة. 


1۸ دليل المسئول التنفيذي لحوكمة تقنية ا معلومات 


المفاهيم الأساسية للحوكمة وقواعد قانون ساربينز أوكسلي :50 


شكل توضيحي (4-7) 


أهداف حوكمة تقنية المعلومات 
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قضايا المخاطر المؤسسية لحوكمة تقنية المعلومات: 

تواجه كل مؤسسة مجموعة كبيرة من المخاطرة تشمل عمليات تشغيل الأعمال 
المؤسسيةء والعوامل الخاصة بسوق العمل وما يتصل بهاء والأوضاع الاقتصادية العامة 
وقانئهة غير منتهية من العوامل الأخرى من المخاطر المؤسسية. وعلى الرغم من أن هذا 
الكتاب لا يسعى لتقديم ومناقشة جميع الجوانب الرئيسية المتعلقة بإدارة المخاطر على 
مستوى المؤسسة وما يعرف بإطار عمل إدارة المخاطر المؤسسية الصادر عن لجنة ال منظمات 
الراعية "° (0050) ERM) enterprise risk managemen‏ 0050)؛ فإن هناك العديد 
من الجوانب المتعلقة بالإدارة الشاملة للمخاطر المؤسسية: وهي جوانب هامة بالنسبة 


دلبل المسئول التنفيذي لحوكمة تقنية اا معلومات 14 


الفصل الثانى 


للممارسات الفعالة لتقنية المعلومات على وجة التحديد. سيقدم الفصل الرابع من هذا 
الكتاب معلومات أكثر حول لجنة المنظمات الراعية 050©. 

ولي تمتلك المؤسسة ممارسات فعالة لحوكمة تقنية المعلومات» فهي بحاجة إلى أن 
يكون لديها برقامج فال لتقييم. وإذازة التعاطر الشاملة. واللحاظر اللؤثرة داخل اللؤسسة: 
والمخاطر النوعية التي تواجة عمليات التشغيل الخاصة بتقنية المعلومات. يعرض الشكل 
التوضيحي (0-5) بإيجاز بعض القضايا الخاصة بمخاطر حوكمة تقنية المعلومات ويلخص 
بعض الإستراتيجيات الفعالة فى إدارة تلك المخاطر. 

ما يواجه كبار المديرين غالبا اعتراضات شديدة أو بسيطة عندما يقومون بقبول وإدارة 
العديد من أنواع المخاطر المتعلقة بتقنية المعلومات. خير مثال على ذلك كلمة السر 
المستخدمة في النظم للوصول وارد تقنية المعلومات. فتبعا لأحد الاتجاهات: قد يحتاج 
المدير غير الملم بالتقنية بشكل جيد إلى أن يستخدم أسلوبا بسيطا وسهلا التذكر لكلمة 
المرورء والتي تكون غالباً مكونة من ثلاثة حروف تمثل الأحرف الأولى من اسمه الثلافي ورقم. 
فالسيدة 10165[ 411126 113177 قد تستخدم 1۸[1 كلمه مرور للوصول إلى النظم الخاصة 
بهاء ويمكن تغيير كلمة المرور فقط من خلال تغيير الرقم المكون من عدد واحد من آن 
لآخر عند تغيير كلمات المرور. وبذلك يكون هذا النظام سهل التذكر ولكن يمكن اختراقه 
سهولة: 

يؤيد أخصائيو أمن المعلومات عادة الذهاب إلى الاتجاه الآخر وهو وضع معايير لكلمة 
المرورء تكون غالبا مركبة من ثمانية حروف أو أكثر منها حروف كبيرة وصغيرة: بالإضافة 
إلى الأرقام والرموز الخاصة وجميعها تتطلب تغييراً بصفة دورية. قد يخلق ذلك جوا أكثر 
أماناً وسرية: إلا أن الكثيرين قد تكون لديهم مشكلة في استدعاء كلمات المرور هذه والتي 
يصعب تذكرهاء ومن ثم يقومون بكتابتها على أوراق ملاحظات لاصقة ووضعها على لوحات 
امفاتيح الخاصة بحواسيبهم. 
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المفاهيم الأساسية للحوكمة وقواعد قانون ساربينز أوكسلي :50 


شكل توضيحي (0-۲) 


قشَانا مخاطر موكهة ققدة امات 
متطلبات المخاطر المؤسسية استراتيجيات تفعيل المخاطر 


فهم رغبة المؤسسة في المخاطر | عندما تَوَاجّه المؤسسة بمخاطر اختيارية. فعليها أن تدرك مدى 
حجم ومستوى ال مخاطر التي ستتحملها. فعندما تكون الإدارة 
مستعدة لقبول مشاريع أكثر مخاطرة: ينظر إليها بأن لديها 
شهية كبرة للمخاطر. 
ستواجه المؤسسة مخاطر عديدة. ولكن يجب أن يكون هناك 
فهم كاف وواضح لتحديد أي وحدة داخل المؤسسة هي التي 
ستقبل المخاطرة أو تتحمل مسئوليتها. 


ضمان مشاركة الأشخاص الناسبين يجب إشتاد مسؤولبات الوحدة التنظيمية عن جميع ا ملخاطر | 
المحددة. كما يجب غلل الوحدة التنظيمية الإقراز مسؤولينها | 


من وجهة نظر المحاسبة أو التدقيق؛ تعتبر المخاطر المتبقية هي 
احتمالينة أن اللدقق الن يسعظع الوصول إل الخطا الجوهري 
الموجود في التقرير المالي للعميل ومن ثم سيقدم بشكل خاطن | 
تقريراً لا يحمل أي تحفظات حول دقة الحسابات. وبالمفهوم | 
نفسه: قد تكون الإدارة غير مدركة للآثار المترتبة على المخاطر 
ومن ثم تقبل المخاطر أو تقر بهذه الأشياء. 

تحتاج المؤسسة إلى معرفة تكاليف ومقتضيات الضوابط 


المختلفة التي يمكن أن تقوم بوضعها استجابة لمختلف ا مخاطر 
ا لمحددة. 


معرفة تكاليف معالجة أحداثف | ستواجه اللؤسسة العديد من المخاطرء لذا يجب أن يكون لديها 
المخاطر معرفة جيدة بالتكاليف اللازمة لمعالجة مختلف الأمور في حال | 
وقوع المخاطر المحددة. 





دلبل المسئول التنفيذي لحوكمة تقنية المعلومات ۷1 


الفصل الثاني 


من المخاطر على نحو جيد حول ماهية الإجراءات أو التدابير التي يجب 
اتباعها في حال حدوث مخاطر مرتبطة بتقنية المعلومات. 


هناك العديد من الاعتبارات في حال حدوث مخاطر مرتبطة 
بتقنية المعلومات. لذا يجب على المؤسسة أن تقوم بتطوير 
الضوابط الملاتمة التي سوف تقوم بمعالجة تلك المخاطر 
بطريقة فعالة. 





إن الفكرة الرئيسية وراء متطلبات وإستراتيجيات الخاطر الموضحة في الشكل التوضيحي 
(0-0) هو أن المؤسسة بحاجة إلى أن يكون لديها معرفة بمختلف أنواع المخاطر المتعلقة 
بتقنية المعلومات التي تواجهها وكذلك التكاليف والإستراتيجيات البديلة لاتخاذ الإجراءات 
التصحيحية المتبعة في حال وقوع مثل تلك المخاطر. إن المصطلح أو المفهوم الهام جدا 
هنا هو ما يسمى الرغبة في المخاطر 6]1]6مم4 18151. بمعنىء: ما حجم المخاطر التي على 
استعداد أن يتقبلها أحد كبار المديرين أو المؤسسة بأكملها؟ فالمستثمر الفردي الذي يضع 
أمواله في سندات شركة تصنيفها (۸4) يمتلك شهية مخاطر أقل بكثير من المستثمر الذي 
بضع أمواله في سوق أسهم شركات التقنية المضاربة. 

إن الإلمام بقضايا ا مخاطر المؤسسية يعد مطلباً لتطبيق العمليات الفعالة لحوكمة 
تقنية المعلومات. إثنا فى الواقع تحقاج ذاتما إلى أن ندرك أن كل مجال من مجالات تقتية 
المعلومات وعمليات التشغيل الشاملة للأعمال تشتمل على مخاطر لأنشطة أو أحداث غير 
مخطط لها. لذلك يجب أن يكون لدينا دائماً إستراتيجيات وعمليات معمول بها للاستجابة 
بشكل ملائم لتلك المخاطر في حال حدوث أي منها. 


قضايا التنظيم المؤسسي لحوكمة تقنية المعلومات: 

لقد توسعت قضايا واهتمامات حوكمة تقنية المعلومات لتصل إلى ما هو أبعد من إدارة 
تقنية المعلومات ومواردها فقطء بل يجب أن تشمل العديد من القضايا والاهتمامات على 
مستوى المؤسسة بأكملها. لذلك يجب علينا أن ننظر دائما إلى مورد تقنية المعلومات في 
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المفاهيم الأساسية للحوكمة وقواعد قانون ساربينز أوكسلي :50 


المئؤسسة بأنه ليس مجرد عنصر متفرد بل هو أحد الوحدات أو المكونات التي لها طبيعة 
خاصة بالنسبة للمؤسسة بأكملها. بعض تلك القضايا الخاصة بالحوكمة موضحة بالشكل 
التوضيحي (5-9). 

إن الرسالة 0 يريد الشكل التوضيحي (1-۲) أن يبعث بها هي أنه على الرغم 
هخ أن إدارة تقنية المعلومات قد تقوم بتطوير عمليات وإجراءات للحوكمة تؤثر في 
نظم وعمليات تشغيل تقنية المعلومات الخاصة بها فإنه يجب عليهم التفكير دائها 
في تلك العمليات والإجراءات في إطار أكبر من ذلك بكثير يشمل المؤسسة بأكملها. 
فد سيق لقال .هق الل ج سباق أن هناك الد من الت ارات اا 
بالحوكمة تؤثر في المسؤولية الائتمانية للمؤسسة وفي مديريها الأساسيين بوجه خاص 
للحفاظ على استثمارات المستثمرين وتعزيزها على جميع المستويات. إذ يمكن أن يؤدي 
الإخفاق أو القصور في هذا الأمر إلى رفع الدعاوى المدنية أو حتى القانونية على مديري 
موت والاعتبار الذي له صلة هنا هو أن المؤسسة وعملياتها التشغيلية الخاصة 

بتقنية المعلومات لا ملكون مجموعة مفتوحة أو غير منتهية من الموارد لأخذ الإجراءات 

التصحيحية اطناسبة. لذا يجب أن نوازن دائا بين أثو اتخاذ الإجراءات التصحيحية وبين 
موارد المؤسسة بأكملها. 

يشير الشكل التوضيحي (1-5) إلى قضايا الاختصاص والحدود على أنها أحد مكونات 
حوكمة تقنية المعلومات. فمع أنه قبل سنوات ليست بالكثيرة كانت موارد تقنية المعلومات 
في المؤسسة توضع خلف أبواب مغلقة محكمة السرية وتكون غالباً مرفقة في موقع منعزل 
عن باقي العمليات التشغيلية للمؤسسة: إلا أن هذا لا يجب أن بمنعنا في أن ننظر دائماً إلى 
العمليات التشغيلية الخاصة بتقنية المعلومات على أنها العنصر الرئيسي في عملية استمرار 
باقي العمليات التشغيلية الأخرى في المؤسسة. على أية حال» يجب علينا أن نتذكر دانم أن 
هناك حدودا موجودة. ويجب أن تدرك العمليات التشغيلية التقنية والمالية وغيرها الحدود 
بين مختلف مجالات المسؤولية عند وضع عمليات الحوكمة. 


دلبل المستول التنفيذى لحوكمة تقنية اا معلومات ايا 


الفصل الثاني 


حوكمة تقنية المعلومات والقضايا التشريعية والتنظيمية: 

بدأنا هذا الفصل بتقديم نبذة مختصرة عن بعض العناصر الأساسية في قانون <501, 
وهو أحد العناصر الهامة في التشريع التي تؤثر في المراجعة والتقارير المالية وضوابطها 
الداخلية. وبالرغم من احتوائه على العديد من القواعد التشريعية الرئيسيةء فإن 501 
هو مجرد قانون من بين العديد من القوانين التنظيمية والتشريعية الرئيسية وحتى 
القوانين الثانوية التي تؤثر في العمليات التشغيلية لحوكمة تقنية المعلومات. يغطي 
بعض هذه القوانين كامل العمليات التشغيلية المؤسسية على المستوى المحلي أو الدولي. 
في حين يختص البعض الآخر بشكل أكبر بأمن تقنية المعلومات. وفي حالات أخرىء نجد 
أن العمليات التشغيلية لحوكمة تقنية المعلومات لا تتأثر بالقواعد والقوانين التشريعية 
الحكومية:. ولكنها تتأثر با معايير المهنية غير الإلزامية ولكنها ضرورية للبقاء على الأقل في 
المنافسة. 

ستقدم الفصول اللاحقة وتناقش بعض القضايا التشريعية والتنظيمية المتعلقة بحوكمة 
تقنية المعلومات بمزيد من التفصيل. على سبيل المثال» يقدم الفصل العاشر من هذا الكتاب 
نبذة عامة عن بعض من بين العديد من قوانين أمن تقنية المعلومات التي تؤثر في المؤسسة هذه 
الأيام. ويناقش الفصل الحادي عشر العناصر الهامة الخاصة بمعيار أمن البيانات الخاص بصناعة 
بطاقات الدفع (1055 Payment Card Industry Data Security Standard (PCI‏ التي 
تعتبر مجموعة هامة من القواعد المؤثرة في أي مؤسسة تستخدم بطاقات الائتمان في العمليات 
التشغيلية الخاصة بأعمالها. وعلى المستوى الآخرء يقدم الفصل السابع من هذا الكتاب بعض 
المعايير العالمية في حوكمة تقنية المعلومات مثل معيار أيزو ١86٠١‏ (38500 150). والتي لا 
تعتبر قواعد تشريعية بل معايير امتثال يجب اتباعها من قبل أي مؤسسة ذكية. 


ve‏ دليل المسئول التنفيذي لحوكمة تقنية ا معلومات 


المفاهيم الأساسية للحوكمة وقواعد قانون ساربينز أوكسلي :50 


شكل توضيحي (1-۳( 


قاتا حوكمة تقنية الأعلومات اللؤسسية 


لاتبارات الخاصة بحوكمة تقني امعلومات 


عمليات رصد المخاطر في | هي أكثر من مجرد تحديد لأنواع ومستويات مختلقة للمخاطر 
الشركات اللؤسمية والتقنية الى كن أن تؤثرفي اللؤسسة: لذا يجب أن 
تون هناف ات مول يها و اید اة كلف خا 
ا جاتب معية عطقل عدا ا و اعتفاة ا 
المناسبة في حال وقوع المخاطر. 


الآليات الضعيفة لاتخاذ | هي أكثر من مجرد مراقبة لحالة المخاطر المتعلقة بحوكمة تقنية 
القرارت المعلومات. لذا يجب أن تكون هناك عمليات إدارية معمول بها 
لاتخاذ الإجراءات المناسبة في خال وقوع المخاطر. ويعتبر ذلك ضعباً 
خاصة في حال اشتمل الإجراء المخطط له على بعض الأمور كإيقاف 
تشغيل الشبكة التقنيةء وهو الأمر الذي يتطلب قرارات إدارية قوية 
وحاسمة. 


مخاطر انتهاك خصوصية | سواء كانت سجلات أعمال آم سجلات مالية أو بيانات شخصية:؛ فإن 
سجلات السانات الخاصة المؤسسة تحتفظ في سجلاتها وأنظمتها بكميات هائلة من البيانات 
وبيانات الأعمال وا معلومات التي يجب حمايتها. 


مخاطر الإلزام غير الفعال | تطبق قضايا حوكمة تقنية المعلومات غالبا غلى أنماط محدودة أو 
وفض النزاعات متعددة من الإجراءات التصحيحية ذات الأهمية التي تتخذ عند 
تنفيذ الإجراءات المناسبة. لذا يجب أن تكون هناك عمليات إدارية 

نظامية وقوية ومجربة. 


مخاطر شح الوارد المالية | ف حين أنه من السهل في بعض الأحيان بالنسبة للمختصين أن 
يقوموا بتطوير خطة علاجية للمخاطرء إلا أن قلة الموارد المالية لدى 
المؤسسة قد تحول دون استخدام تلك الخطة. 





دلبل اللستول التنفيذي لحوكمة تقنية اا معلومات vo‏ 


الفصل الثاني 


| مخاطر الإخفاق ف فهم جميع | تركز إذارات تقنية المعلومات غالبا غلى العمليات التشغيلية الخاصة 
مسؤوليات الأعمال وحاجات | بالبنية التحتية لتقنية المعلومات الخاصة بها ولكنها تخفق في فهم 
أصحاب المصالح متطلبات ومخاطر العملية الشاملة للمؤسسة:. وكذلك تلك التي 

تخص أصحاب المصالح كالباعة والموردين الرئيسيين. 


المعلومات (الخاضة بها أو التابعة لها) أن يتذكروا دائما آن لديهم واجب 
حماية الأصول والاستثمارات الخاصة بأصحاب المصالح والمقرضين. 


مخاطر تحديد الحدود ف كثير من الأحيان. نرى أن أنشطة مراقبة ومعالجة المخاطر تمتد 
والسلطة لتتجاوز عمليات تشغيل تقنية المعلومات لتصل إلى المؤسسة بأكملها 
وإلى جميع أصحاب المصالح الآخرين الرئيسيين. لذا فهناك حاجة 

ا ا غل البلظات الو 





تعت بر القواعد والقضايا التنظيمية والتشريعية من العناصر الهامة في العمليات الفعالة 
لحوكمة تقنية المعلومات. فعلى إدارة المئؤسسة مراقبة تلك القواعد واتخاذ الخطوات 
المناسبة للتأكيد على الامتثال بها. 


شكل توضيحي (۷-۲) 


قضايا الأمن الخاصة بحوكمة تقنية المعلومات 


| قضايا أمن تقنية المعلومات أنشطة حوكمة تقنية المعلومات 


والإجراءات الأمنية الاختراقات والتطفلات الخاصة بأمن تقنية المعلومات. ويجب أن 
يكون هناك أيضا فريق مختص ومهاري طراقبة أمن تقنية المعلومات 
واتخاذ الإجراءات التصحيحية إذا تطلب الأمر. 


يجب أن يكون هناك عمليات مفعلة لاسترجاع العمليات التشغيلية 
في حال حدوث اضطرابات غير متوقعة للعمليات التشغيلية والنظم. 
ويجب فحص هذه النظم بالكامل للمحافظة على الوضع الراهن 
لتعكس التغيرات الحاصلة قي العمليات التشغيلية المؤسسية. 





۷٦‏ دليل المسئول التنفيذي لحوكمة تقنية ا لعلومات 


المفاهيم الأساسية للحوكمة وقواعد قانون ساربينز أوكسلي SOx‏ 
واسعة ومتطورة باستمرار من البرمجيات الضارة التي لديها المقدرة على 
تخطي غمليات الكقف عنها بحيث تقوم بكبير تفسها مجره إطلاقها. 
دجب أن تعمل ال مؤسسة على إتحاد الأدوات اللازمة طراقة جميع 
الجوانب المتعلقة بأمن تقنية المعلومات. على الصعيدين الداخلي 
والخارجی؛ واتخاذ الإجراءات العلاجية الفعالة عند الحاحة. 
بشكل مناسب» وتحديد نقاط الضعف الأمني الخاصة بها مع خطط 


المتعلقة بأمن تقنية المعلومات واليدء بالإجراءات الملانئمة عند تحديد 
أي اختراقات أو هجمات أمنية. 

يجب إيجاد سياسات تشفير فعالة واستخدامها عند الضرورة لتحسين 
الممارسات الخاصة بحوكمة تقنية المعلومات. 


مخاطر أمن تقنية المعلومات | يجب توافر سياسات وأدوات تدريبية لضمان اتباع جميع أصحاب 





| الخاصة بأصحاب المصلحة | المصلحة ال معنيين في المؤسسة لإجراءات مناسبة لأمن تقنية المعلومات. 
القضايا الأمنية لحوكمة تقنية المعلومات: 

نظرا لترابط العمليات التشغيلية لتقنية المعلومات في المؤسسة على الصعيدين الداخلي 
والخارجي من خلال الإنترنت والعديد من الروابط الأخرىء فإن أمن تقنية المعلومات 
يعتبر من القضايا الرئيسية في حوكمه تقنية ا معلومات. حيث يدرك العديد من عملاء 
ومستخدمي تقنية المعلومات أن نظمهم وبياناتهم عرضة لشريحة واسعة من الدخلاء 
والمتطفلين من الذين تتراوح اهتماماتهم من مجرد التشويش على العمليات التشغيليه 
لتقنية المعلومات لصالح جهة ما إلى أن تصل إلى حد تخريب النظم والبيانات لتحقيق بعض 
المكاسب. لذا يعتبر وجود الضوابط الفعالة لأمن تقنية المعلومات من العناصر الهامة في 
حوكمة تقنية المعلومات. 


دلبل المستول التنفيذي لحوكمة تقنية اا معلومات VY‏ 


الفصل الثاني 


يحب أن يكون لدى اللدير التنفيذي هذه الأيام معرفة عامة عالية المستوى في 
القضايا الأكثر تأثيرا في أمن تقنية المعلومات والمهمة بالنسبة للحوكمة الفعالة لتقنية 
المعلومات. فمع أن هناك العديد من القضايا المختلفة في هذا المجالء فإنه يجب 
على مدير الأعمال أن يفهم التهديدات والمخاطر الخاصة بتقنية المعلومات بل يجب 
عليه أيضا البحث عن مساعدة تقنية متخصصة بداخل المؤسسة لتقوم بتطبيق الأنواع 
الموضحة بالشكل التوضيحي )۷-١(‏ للعمليات الأمنية الخاصة بحوكمة تقنية ا معلومات 
بشكل أكثر فاعلية. 


التهديدات الداخلية والخارجية لحوكمة تقنية المعلومات: 

بالإضافة لقضايا حوكمة تقنية المعلومات الأكثر تخصصية: فإن المؤسسة تتعرض 
لحجم هائل من التهديدات الأمنية الداخلية والخارجية. فقد تمتد التهديدات الخارجية 
من مجرد أمور أشبه بالهجوم الإرهابي الذي تقوم به إحدى الحكومات الأجنبية المتورطة 
بقضايا التجسس إلى أن يصل إلى مخاطر تتعلق بالحوسبة السحابية وأكثر. فعلى الرغم 
من أننا سوف نناقش بعض التهديدات التقنية المتعلقة بالحوسبة السحابية في الفصل 
التاسع من هذا الكتابء فإن المؤسسة تواجه هذه الأيام مجموعة واسعة من التهديدات 
الخارجية التي تهدد مواردها التقنية والعمليات التشغيلية الخاصة بأعمالها أيضا. لذا 
يتعين على المدير التنفيذي في هذه الأيام التأكد من آنه تم الاستعانة بأدوات مراقبة 
ورصد مناسبة وبأشخاص مهرة لمراقبة مثل تلك التهديدات واتخاذ الإجراءات التصحيحة 
المتاسية: 

يمكن مراقبة عمليات حوكمة تقنية المعلومات الخاصة بالتهديدات الداخلية والتحكم 
بها بشكل أفضل ف أغلب الأحيان. ومع أننا لا نعرف مطلقا الوقت الذي سيقوم به بعض 
الدخلاء غير المتوقعين بمهاجمة نظم تقنية المعلومات الخاصة بناء فإننا نستطيع تقليص 
مخاطر التهديدات الداخلية عن طريق وضع سياسات وإجراءات داخلية قوية تشمل 
العديد من تلك السياسات والإجراءات التي تمت مناقشتها في هذا الفصل إلى جانب 
بناء فريق مؤسسي يدرك فيه جميع أصحاب المصالح لأدوارهم ومسؤولياتهم ولتوقعات 
الإدارة. 


VA‏ دليل المسئول التنفيذي لحوكمة تقنية المعلومات 


المفاهيم الأساسية للحوكمة وقواعد قانون ساربينز أوكسلي :50 


كما ذكرنا في هذا الفصل» فإن حوكمة تقنية المعلومات هي ال مجال الواسع الذي يشمل 
العديد :من اللجالات الخاصة بالعمليات التشغيلية المؤسسية وصحة يدا إلى ها هو أكة 
من مجرد إدارة تقنية المعلومات. وهي أكثر بكثير من الموضوع الساخن الحالي الذي يثير 
ضجة كبيرة. لذا يجب أن يعمل كبار المديرين التنفيذيين في المؤسسة اليوم جنبا إلى جنب 
مع الكادر التقني وأخصائيي أمن المعلومات لديهم إلى جانب المدققين الداخليين لتطوير 
ممارسات قوية لحوكمة تقنية المعلومات. ستقدم الفصول اللاحقة المزيد من المعلومات 
والنقاشات التي تدور حول تطبيق ممارسات فعالة في حوكمة تقنية معلومات. 


دلبل المستول التنفيذى لحوكمة تقنية المعلومات ۷۹ 


الفصل الثاني 


ملاحظات: 

1. على الرغم من أننا نقدم مجرد ملخص عالي المستوى للتطلبات قانون :50 : فإن 
Robert Moeller, Sarbanes-Oxley Internal Controls: Effective Auditing”‏ 
"(with AS5, CobiT, and ITIL (Hoboken, NJ: John Wiley & Sons, 2008‏ 
يقدم الكثير واطمزيد من المعلومات. 

2. على اعتبار أنها وثيقة عامة. فإنه هكن العثور على نص القانون في العديد من مواقع 
الويب. أحد هذه المصادر هي: 

http://A1.f1ndlaw.com/news.fIndlaw.com/hdocs/docs/gwbush/ 
.sarbanesoxley072302.pdf 

3. كأحد مبادئ القانون: حتى لو ظهر انتهاك اصطلاحي للقانون طبقاً لنص القانونء فإن 
كان تأثيرة صغيراً جدا بحيث لا يكون له أي عواقبء فإن انتهاك القانون في هذه الحالة 
لن يعتد به كسبب كاف لاتخاذ أي إجراء» سواء كانت هذه الإجراءات مدنية أم جنائية. 

Steve Crutchley, “IT Governance Helping Business Survival, www. .4 
.Slideshare.net/khanyasmin/it-governance-consult2comply 

5. طمزيد من ابلعلومات حول إدارة المخاطر المؤسسية و إدارة المخاطر اللؤسسية الخاصة بلجنة 
انظ مات الراعبةه (COSO ERM)‏ انظر " Robert Moeller's COSO Enterprise‏ 
(Risk Management, 2nd ed. (Hoboken, NJ: John Wiley & Sons, 2011‏ . 


9 دليل المسئول التنفيذي لحوكمة تقنية ال معلومات 


الفصل الثالث 
حوكمة المؤسسات وأدوات الحوكمة وإدارة المخاطر 
والامتثال GRC‏ 


واجهت جميع الشركات التجارية والشركات المساهمة العامة بصفة خاصة منذ نشأتها 
قضايا تتعلق باحتياجات ومتطلبات الحوكمة. فبالنسبة للعديد من المؤسساتء كانت 
الإدارة العليا غالبا هي التي تأخذ زمام المبادرة في البداية للقيام بوضع سياسات وقواعد 
الامتثال للأعمال التي يجب التقيد بها واتباعها من قبل موظفيها وغيرهم. وبالرغم من 
أن ذلك كان مناسباً بالنسبة للملكيات الفردية الصغيرة أو للشركات ال مركزية التي كانت 
موجودة في العصور الماضيةء فإن العديد من المؤسسات الكبيرة المتعددة الوحدات تحتاج 
إلى تسهيلات على نطاق واسع لوضع مثل هذه السياسات والإجراءات» أي أنها بحاجة إلى 
غملنات حوكية دات كقاءة وقاغلية: 

ستكون الحياة أسهل بكثير بالنسبة لبعض المؤسسات التي تعتمد فقط على قيادة 
مركزية قوية: رئيس تنفيذي 0580© مهيمن, ليفوض ويدير مباشرة تطبيق أي قاعدة من 
القواعد المطلوبة للحوكمة. من ناحية أخرىء ثَوَاجَّه الشركات في هذه الأيام على مختلف 
أماكنها وأحجامها مجموعات متزايدة وبشكل غير مسبوق من القواعد والإجراءات التي 
تمتد من السياسة المحلية وقوانين السلامة العامة إلى القوانين واللوائح الحكومية التي 
تصدر على مستوى الولاية والمستوى الوطني؛ وفي بعض الأحيان على المستوى الدول» هذا 
بالإضافة إلى وجود مجموعة كبيرة من القواعد المهنية الهامة. ويتعين على المؤسسة أن 
تلتزم بتلك اللوائح والقوانين والقواعد على جميع المستويات. وقد يترتب على عدم التزام 
الشركة بها فرض العديد من العقوبات الجزائية عليها. فكل مؤسسة تحتاج إلى عمليات 
تضمن التزامها بالقوانين والتشريعات الضرورية. 

تكون المؤسسة دائما عرضة للمخاطر التي تتعلق بعدم فهم أو تفسير القواعد كما 
ينبغي أو قيامها بانتهاك واحد أو أكثر من القوانين والنظم التشريعية المتعددة. كما يوجد 


دلبل المستئول ١‏ لتنفيذي لحوكمة تقنية اللعلومات Ai‏ 


الفصل الثالث 


هناك مخاطر أيضا تتعلق بعدم قدرة قواعد الحوكمة التي قامت المؤسسة بوضعها على 
تحقيق النتائج المرجوة: أو أن تواجه المؤسسة بعض الأحداث الخارجية الطارئة الخارجة عن 
سيطرتهاء كحدوث تحولات اقتصادية كبيرة: أو التعرض لهجمات إرهابية أو تحولات اقتصادية 
كبيرة تؤثر في منطقة عملياتها التشغيليةء أو اندلاع حريق في أحد المرافق الرئيسية للمؤسسة. 
لذا فهناك حاجة إلى فهم وإدارة جميع تلك المخاطر على مستوى المؤسسة بأكملها. 

وعلى الرغم من أن المؤسسة تكون ذائما قلقة إزاء العديد من القضايا المختلفة التي 
تخص الحوكمة» وإدارة المخاطرء والامتثال. إلا أن السمة الرئيسية لهذا الكتاب آنه قاح 
بجمع كل من هذه المخاوف الثلاثة معا في سياق تقنية المعلومات وفيما يعرف أيضا بمبادئ 
الحوكمة وإدارة المخاطر والامتثال جي آر سي (6120). وبينما ستناقش الفصول القادمة 
قضايا أهمية ممارسات الحوكمة المؤسسية وأساسيات إدارة المخاطر وممارسات حوكمة 
الشركات» سيركز هذا الفصل على أهمية إنشاء مجموعة قوية من مبادئ الحوكمة المؤسسية 
وإدارة المخاطر والامتثال أو ما يعرف بمبادئ 6120 التي تعد أحد العناصر الهامة في 
حوكمة تقنية المعلومات. 


الطريق نحو مبادئ فعالة للحوكمة وإدارة المخاطر والامتثال :6120: 

حتى مطلع القرن الحالي لم يكن أحد من المهنيين قد سمع بمصطلح 6120 الشائع 
بكثرة هذه الأيام. حيث يشير الحرف الأول في هذا المصطلح إلى الحوكمة 07617826 6: 
ليست حوكمة تقنية المعلومات فحسب» إنما هي حوكمة الأمور المتعلقة بكامل المؤسسة. 
باختصار, فإن الحوكمة تعني الاهتمام بالأعمال ورعايتها والتأكد من أن جميع الأمور تتم 
وفقا للمعايير واللوائح التنظيمية للمؤسسة وكذلك قرارات مجلس إدارة المؤسسة:؛ بالإضافة 
إلى القوانين والقواعد الحكومية. وهي تعني أيضا طرح توقعات أصحاب المصلحة بشكل 
واضح فيما ينبغي عمله كي يكون أضحاب المصالح جميعهم متفقين على الهدف نفسه فيما 
يخص الكيفية التي تعمل بها اممؤسسة. 

في حين يشير الحرف ۸ في المصطلح 6110 إلى المخاطر 1815[12. فكل ما نقوم به وكذلك 
الجوانب المتعلقة بعمليات تشغيل الأعمال قد ينطوي على نوع ما من المخاطرة. فعندما 
تعلق الأمر مثلا بأحد الأفخاص الذي يجري عبر أحد الظرق السريعة: أو الطفل الذي 
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يلعب بأعواد الثقاب» فمن الواضح هنا أن هذه المخاطر المؤكدة لا يجب قبولها بالمرة. أما 
عندما يتعلق الأمر بالأعمالء فإنه ومع ذلك تصبح عوامل المخاطرة طريقة للمساعدة في 
حماية قيم الأصول الحاليةء هذا من جانب» ومن جانب آخر طريقة لخلق قيم جديدة من 
خلال التوسع الإستراتيجي للشركة أو إضافة منتجات وخدمات جديدة. 


وأخرا دة يشير الحرف الأخير © في هذا المصطلح G۸٣‏ إلى الامتثال: أي التقيد أو الالتزام 
بالعديد من القوانين والتعليمات التي و في الأعمال وا مواطنين اليوم. وأحيانا يقوم الناس 
بتوسيع مفهوم الامتثال ليشمل أيضا الضوابط الرقابية اهاه وهذا يعني أنه من 
ا لمهم وضع ضوابط محددة موضع التنفيذ للتأكد من تحقيق الامتثال. على سبيل اللثال» 
قد نقصد بذلك القيام بمراقبة الانبعاثات الخاصة بأحد المصانع أو التأكد من أن المستندات 
الخاصة بوارداته وصادراته سليمة ومطابقة للدم أو آنها قد تعني فقط وضع ضوابط 
جيدة للمحاسبة الداخلية وتطبيق متطلبات تشريعية بطريقة فعالة مثل القواعد الخاصة 
بقانون ×50 التي سبق مناقشتها باختصار في الفصل الثاني من هذا الكتاب. وبضم هذه 
الح روف حمعها مها لآ قكوق العوكمنة وإذارة اللغاطر الال :5187 هو ها جب أن 
تفعله لرعاية المؤسسة فحسب. إنما هو عبارة عن نموذج أولي يساعد في نمو تلك اللؤسسة 
بأفضل وسيلة ممكنة. 


كما ذكرنا في الفقرات التمهيدية: لم يتم مسبقا التطرق إلى مبادئ الحوكمة وإدارة المخاطر 
والامتثال 0110 وال لنظر إليهم على أنها مجموعة موحدة من المبادئ من قبل جميع ال مؤسسات» 
والشركات على وجه الخصوص. فبمقدار ها كانت اة تدير أو تهتم بأى من هذه 
المجالات الثلاثة. بقدر ما كانت غالبا تديرهم ا بصورة ة أقل كفاءة عما إذا تمت إداراتهم 
كمجالات أو اهتمامات منفصلة. إن إدارة المخاطر هنا هي الحالة التقليديةء فقد فكرت 
المؤسسات بإدارة المخاطر من ناحية التغطية التأمينيةء وقامت بإدارة مخاطرها من خلال 
إدارة التأمين إذ إنها كانت في أغلب الأحيان لا تملك الكثير لتفعله حيال العمليات التشغيلية 
الأخرى في ا مؤسسة. وكذلك بالنسبة للامتثال» فنحن بحاجة دائما للتوافق مع جميع مستويات 
الإجراءات الموضوعة؛ متضمنا ذلك القواعد التي تم وضعها للمساعدة في إدارة المؤسسة 
ولكن لم يسبق على مر التاريخ أن قمنا بدمج هذه المجالات الثلاثة معا لتشكل ما يعرف 
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الفصل الثالث 


بمبادئ الحوكمة وإدارة المخاطر والامتثال :110 6. فمصطلح 610 اليوم متعارف عليه بشكل 
متزايد حيث يعكس أسلوبا جديداً تستطيع المؤسسات من خلاله اعتماد نهج متكامل لدمج 
تلك الجوانب الخاصة بأعمالهم» كما أنه يعكس أسلوبا جديدا يكن المؤسسات من اعتماد نهج 
موحد ومتكامل لجميع الجوانب الثلاثة في قالب واحد أثناء إتمام أعمالهم. 

بالذهاب إلى أبعد من كونه مجرد اختصار» نجد أنه من المهم تذكر تلك المجالات 
ا لمحورية لكل من الحوكمة وإدارة المخاطر والامتثال. فكل مجال من هذه المجالات يتكون 
من أربعة مكونات أساسية لنموذج 6180 وهم: الإستراتيجية: والعمليات» والتقنية؛ والناس. 

يوضح الشكل التوضيحي )١-1(‏ هذه المفاهيم الخاصة بمبادئ 0110): فمبادئ الحوكمة 
وإدارة المخاطر والامتثال يجب أن تكون محاطة بإحكام لربط هذه المبادئ معا. ويوضح 
الشكل أيضا أن السياسات الداخلية هي العوامل الرئيسية التي تدعم الحوكمة: وأن اللوائح 
التنظيمية الخارجية هي التي تقود مبادئ وقواعد الامتثال. وأن ما نطلق عليه رغبة 
المؤسسة في المخاطر يعد أحد العناصر الرئيسية ف إدارة المخاطر. 

يعتبر مصطلح الرغبة في المخاطر 1]6]عم20 18151 من ا ملصطلحات الجديدة توعا ما 
بالنسبة للعديد من المهنيين في مجال الأعمال وتقنية ا معلومات. فهو يشير إلى مقدار ونوع 
المخاطر التي تستطيع ال منظمة متابعتها وتحملها. فعلى سبيل ال مثال» ا مستثمر الذي يضارب 
بأمواله فيما يطلق عليه غالبا ب"الأسهم ذات الدولار الواحد 5605 8611127" التي تكون 
محفوفة با مخاطرء تكون لديه رغبة عالية في المخاطر في حين أن المستثمر الذي يستثمر 
أمواله في صناديق سوق الال الآمنة تكون لديه رغبة منخفضة في المخاطر. ويمكن تطبيق 
السيناريو نفسه على العديد من قرارات الاعمال المؤسسية. 

يوضح الشكل التوضيحي )١-١(‏ أيضا مكونات الإستراتيجيةء والعمليات الفعالة. والتقنيات 
(بما فيها تقنية المعلومات ١1)ء‏ والناس داخل اللؤسسة للقيام بكل هذا العمل. وعلى الجانب 
الأيسر للمثلث من الخارج» يوضح الشكل حاجة المؤسسة لاهتمام ودعم الإدارة وأن السلوك 
الأخلاقي السليم والكفاءة التنظيمية وتحسين الفاعلية تعد من العناصر الأساسية. وستتناول 
الأقسام التالية من هذا الفصل كل مكون من المكونات الخاصة بنموذج 180 مزيد من 
التفصيل» وسنقوم أيضاً بالحديث عن العديد منها في فصول أخرى من هذا الكتاب. 
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أهمية الحوكمة في نموذج 6۸٣‏ 
يجب التفكير باممبادئ الثلاثة الرئيسية الخاصة بنموذج G۸٣‏ والداعمة لحوكمة تقنية 
ا معلومات على أنها تيار واحد من المفاهيم المستمرة وال مترابطة بحيث لا يكون لأي منها 
سواء الحوكمة 6 أو إدارة الملخاظر ۸ أو الامتثال ©: أهمية زائدة عن الآخرين. وحيث إن 
غالبية الفصول القادمة تغطي العديد من جوانب حوكمة تقنية المعلومات» فإننا سنبدأ 
الحديث هنا عن الجانب الخاص بالحوكمة 6 في نموذج 6۸€. 
شكل توضيحي )١-7(‏ 


ا مفاهيم الخاصة بنموذج 0110 





مدارة ومدعرمة 
بسداهم )61 






ظ الأنظمة والقوالين 
__الخارجية 





دلبل المسئول التنفيذي لحوكمة تقنية المعلومات Ao‏ 


الفصل الثالث 


حوكمة الشركات أو المؤسسات هو مصطلح يشير بشكل واسع إلى القواعد أو العمليات 
أو القوانين التي بها يتم تشغيل الأعمال وتنظيمها ومراقبتها. ويمكن أن يشير هذا المصطلح 
إلى العوامل الداخلية التي تم تحديدها أو تعريفها بواسطة المسؤولين أو أصحاب المصالح 
أو دستور الشركة» بالإضافة إلى القوى الخارجية كمجموعات المستهلكين والعملاء واللوائح 
التنظيمية الحكومية. 

نزولاً من المستويات العليا للشركة ووصولا إلى العديد من المجالات الخاصة بالعمليات 
التشغيلية في الشركةء يمكننا تعريف حوكمة المؤسسات على أنها المسئوليات والممارسات 
التي يتم تنفيذها من قبل مجلس الإدارةء والإدارة التنفيذية العلياء وجميع المستويات 
الخاصة بالإدارة الوظيفية العلياء بهدف توفير توجه إستراتيجيء والتأكد من أن الأهداف 
الموضوعة قد تم تحقيقهاء والتأكد من أن المخاطر قد تمت إدارتها بالأسلوب المناسب» 
وفحص ما إذا كانت موارد المؤسسة قد تم استخدامها بشكل معقول. فالحوكمة في 
الواقع تشير إلى عملية وضع القواعد والإجراءات في جميع مستويات المؤسسة؛ وتوصيل 
هده القواعن (ل اللسدوات اكناسية هن اساب اللاك وة الأذاء ففخ ف 
القواعدء ومن ثم إدارة المكافآت والعقوبات بناء على الأداء أو الامتثال النسبي لتلك 
القواعد. ) 

توفر مجموعة مبادئ حوكمة الشركات أو المؤسسات المعرفة بشكل جيد والتي 
يتم إنفاذها بأسلوب جيد» على الأقل من الناحية النظرية» الأعمال التي تصب في 
مصلحة كل فرد مهتم بضمان أن تلتزم المؤسسة بالمعايير الأخلاقية المعتمدة واتباع 
أفضل الممارسات. بالإضافة إلى اللوائح والقوانين وال معايير الرسمية المناسبة. لقد لاقت 
قضايا حوكمة الشركات المزيد من الاهتمام في السنوات الأخيرة نتيجة الفضائح المدوية 
الناجمة عن سوء استخدام السلطة ف الشركات. وسوء التقديرات الماليةء وف بعض 
الحالات» ممارسة أنشطة جنائية من قبل مسئولي الشركة. إن وضع أحكام قضائيةء 
سواء كانت مدنية أم جنائية» لإدانة الأفراد الذين يقومون بأعمال لا أخلاقية وغير 
قانونية باسم الشركة يعد جزءا مكملاً ومتمما للنظاع الجيذ والقعال الخاص بحوكمة 
الشركات. 
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وعلى الرغم من أننا كثيرا ما نقوم بوصف جميع مفاهيم الحوكمة الخاصة با مؤسسات 
أو الشركات باستخدام القليل من الفقرات القصيرة أو باستخدام صور واحدةء فإن الشكل 
التوضيحي )7١-1(‏ يعرض مجالات تتعلق بمفاهيم الحوكمة المؤسسية باستخدام مجموعة 
تنفيذية في وسط الشكلء كما يوضح الشكل بعض التداخل أو التشارك الموجود بين هذه 
المفاهيم والمسؤوليات المرتبطة بها من أجل تأسيس كل من الضوابط والإطار الإستراتيجي 
للأعمال وتحسين الأداء وفرض المساءلة أو المحاسبة. كما يعرض الشكل التوضيحي (7-7) 
أيضا بعض المفاهيم الرئيسية التي تندرج تحت كل مجال من مجالات المسؤولية تلك. 
فمثلا بالنسبة للإطار الإستراتيجي للأعمال: يوجد بها عدة عناصر أو مفاهيم مهمة كأنشطة 
التخطيط والأعمال المؤسسية وإدارة المخاطر واستمرارية الأعمال وتقنية المعلومات 
والشبكات والتدقيق الداخلي. 

تم تضمين الحوكمةء وهي جزء رئيسي في نموذج مبادئ 110): في العديد من الفصول 
اللاحقة والتي تتحدث عن قضايا معينة في حوكمة تقنية المعلومات» ونخص بالذكر هنا 
كلا من الفصل الثامن الذي يتحدث عن إدارة المخاطرء والفصل الثامن عشر الذي تناول 
الحديث عن حوكمة تقنية المعلومات. ويركز الفصل الثامن عشر أيضا على مسائل متعلقة 
بتقنية المعلومات وإستراتيجيات الأعمال وعمليات الحوكمة. 


دليل المسئول التنفيذي لحوكمة تقنية ابمعلومات AV‏ 


الفصل الثالث 


شكل توضيحي (۲-۴) 


عناصر حوكمة 6110 





عنصر إدارة المخاطر في نموذج 0110: 

إن الهدف الرئيسي لهذا الكتاب هو تقديم مفاهيم حوكمة تقنية المعلومات إلى مسئولي 
الأعمال التنفيذيين. فمن الضروري أن يكون هناك مجموعة قوية من مكونات ومبادئ 
الحوكمة وإدارة المخاطر والامتثال G۸٣‏ على مستوى المؤسسة بكاملهاء ويعد البرنامج 
الفعال لإدارة المخاطر أحد العناصر الرئيسية ممبادئ G۸٣‏ في المؤسسة. وسيتم الحديث 
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بمزيد من التفصيل عن أساسيات إدارة المخاطر وأمن تقنية المعلومات في كل من الفصل 

الثامن والعاشر من هذا الكتاب» حيث يجب أن تصبح إدارة المخاطر جزءا من الثقافة 

العامة للمؤسسة ابتداء من مجلس الإدارة وكبار المسؤولين نزولا إلى جميع أنحاء المؤسسة. 

هناك أربع خظوات مترابطة في العمليات الفعالة لإدارة المخاطر المؤسسية وفقا لنموذج 

G۸٣‏ كما هو واضح في الشكل التوضيحي (۳-۲) وهي: 

-١‏ تقييم المخاطر والتخطيط لها: قد تتعرض المؤسسات إلى مستويات متعددة من 
المخاطرء سواء كانت قضايا عالمية تتراوح بين أزمات الاقتصاد المحلي آم آزمات العملة: 
إلى عوامل المنافسة في سوق المنتجات وحدوث اضطرابات في العمليات التشغيلية 
المحلية نتيجة سوء الأحوال الجوية. وهنا لا يمكننا تعريف كل نوع من أنواع المخاطر 
التى قد تؤثر في المؤسسة والتخطيط لهاء إلا أنه ينبغى أن يكون هناك تحليل مستمر 
بلختلف المخاطر ال محتملة التي قد اة اس ` 

«افحديف وتخليل اللشاظر: بذلا من التتخطيط فط لالمثيالية وقوع عضن اللخاطر: 
هناك حاجة ماسة إلى المزيد من التحاليل التفصيلية التي تمكننا من معرفة احتمالية 
وقوع خذة ابلخاطر القاذمة ومعرفة مذى تأثيراتها المحثملة أيضا. كما أن هناك حاجة 
أيضا لقاس الآثار اللتردة عل كلك المخاظر المخددة وذلك لتحديد استراتتصات 
للعمل على التخفيف من آثارها في حال وقوع أحداث تلك المخاطر. يشير التخفيف 
هنا إل تقدير أفضل وسيلة لإدارة المحاطرة أو اسععادها: كما يهب أنضا تحديد 
العوامل النهائية المرتبطة بتلك المخاطر. وستصبح المخاطر المحددة أكثر أهمية إذا 
استطعنا تحديد التكاليف الإجمالية التي ستتحملها الشركة إذا وقعت تلك المخاطر 
ابلحددة. 

۴- توظيف وتطوير إستراتيجيات الاستجابة للمخاطر: يجب أن تضع المؤسسة خططاً 
وإستراتيجيات واضحة لاستعادة العمليات التشغيلية الطبيعية الخاصة بها والتعافي 
مق أحداث المخاطر التي يمكن أن تحدثء ويجب أن يتم ذلك بشكل أساسي 
بالتوازي مع تحديد تلك المخاطر. وقد يشتمل ذلك على تحليل الفرص المتعلقة 
قاطي قعل ميل ااا كان لا اع اظ اة افا فعض 


دليل المسئول التنفيذي لحوكمة تقنية ا لعلومات ۸۹ 


الفصل الثالث 


معدات إنتاج قدهة في أحد المصانع والتي رها تتوقف عن الإنتاج» فقد تكون 
هذه فرصة للتخلي عن خط الإنتاج هذا وتركيب معدات جديدة تستخدم تقنيات 
حديثة: أو حتى من الممكن أن تكون فرصة لنقل المصنع إلى موقع أحدث أو موقع 
بديل للموقع الحالي. 

ع- متابعة المخاطر: يجب أن تكون هناك أدوات وتجهيزات معمول بها لرصد جميع 
المخاطر المحددة والجديدة أيضا والتي من الممكن حدوثهاء مثل وضع جهاز إنذار 
حريق للكشف عن الدخان. وبالرغم من أن معظم عمليات مراقبة المخاطر تحتاج 
إلى سلسلة ممتدة من التقارير الخاصة» وإلى معايير معمول بها وقابلة للقياس» 
وإلى إدارة موارد بشرية يقظه. فإن الفكرة هنا هي أن تكون سباقا أو متقدما 
بخطوة وتعاود الدخول في تلك الخطوات السابق ذكرها لإدارة المخاطر إذا اقتضى 
الأمر ذلك. 
يجب أن تعمل إدارة المخاطر على إيجاد قيمة وأن تكون جزءاً متمماً للعمليات 

التنظيمية. كما يجب أن تكون جزءا من عمليات صنع القرار وأن تكون مضممة بأسلوب 

منهجي ومنظم للعالجة الشكوك أو الأحداث المبهمة التي يمكن أن تواجه المؤسسة: وذلك 
الماد على اقفن المغلومات المناحة: هذا لاف إل أنه عب ها أن كون ذلك 
العمليات الخاصة بإدارة المخاطر مرنة وتكرارية ومستحهية للتغيرات :من خلال القدرات 

الخاصة بالتطويرات والتحسينات المستمرة. 


حوكمة المؤسسات وأدوات الحوكمة وإدارة المخاطر والامتثال 6۸٣‏ 


شكل توضيحى (۴-۴) 


نظرة عامة على إدارة المخاطر 











كدير تثبرات المغاطر 
لنظر في العوامل المالية 


٠‏ حلد أولويات عوامل المخاطر 
٠‏ سجل الفرص القائمة على المخاطر 


٠‏ تطبل الفرص 
٠‏ وضع خطط إذارة المخاطر 
٠‏ ليذ الاسترائيجيات 





نموذج 6۸٣‏ وامتثال المؤسسة: 
الامتثال هو عملية الالتزام أو التقيد بالإرشادات أو بالقواعد الموضوعة من قبل الهيئات 
الحكومية: أو المجموعات المختلفة لوضع المعاييرء أو السياسات الداخلية للشركة. ويعد 
الالتزام أو التقيد متطلبات الامتثال أحد التحديات بالنسبة للمؤسسة وأصحاب المصالح 
لديهاء وذلك للأسباب التالية: 
- طرح لوائح تنظيمية جديدة بصورة متكررة: بالنظر إلى الولايات المتحدة الأمريكية 
هناك العديد من الوكالات» كوكالة حماية البيئة مثلاء والتي تقوم وبشكل منتظم بإصدار 
قواعد جديدة يمكن أن تؤثر بشكل كبير في العديد من المؤسسات رغم اختلاف أغراضها 


دليل المسئول التنفيذي لحوكمة تقنية المعلومات ۹1 








الفصل الثالث 


الأساسية. فالتحدي بالنسبة للشركات هنا هو متابعة تلك القواعد الجديدة لمعرفة أي 
من هذه القواعد يمكن أن ينطبق عليها. 

- وجود قوانين غامضة وبحاجة إلى تفسير: وبالنظر مرة أخرى إلى الولايات المتحدة الأمريكية 
على سبيل المثالء فقد أقر الكونجرس الأمريكي مشروع قانون إصلاح الرعاية الصحية في 
عام ٠٠٠١‏ والمعروف باسم أوباما كير (0212221). والذي تمت صياغته من قبل هيئة 
من أعضاء الكونجرس وطباعته في عدة آلاف من الصفحات التي تغطي قضايا وقواعد لم 
تتم قراءتها قطء حتى من قبل المشرعين لهذا القانون» ناهيك عن إمكانية فهمها. حتى 
هذه الأيام ولسنوات قادمة سنظل ننظر إلى هذه القواعد ونحاول تفسير ال معاني الحقيقية 
المقصودة منها. ويممكننا أيضا الحديث عن قانون دود فرانك علصة120040-72 للإصلاح المالي 
سنة 7١1١‏ كمثال آخر مشابه للمثال السابق. فهو عبارة عن قانون معقد جدا لتنظيم 
المجال الماليء ويحتوي هذا القانون على العديد من القواعد الإدارية التي لم تكن قد نشرت 
بعد حتى وقت إعداد هذا الكتاب. وقد يكون امتثال المؤسسة لتلك القواعد أمرا في غاية 
الصعوبة. 

- لا يوجد إجماع على أفضل الممارسات في الامتثال: إن القواعد مليئة باللوائح القانونية 
التي تنص على أمور مثل: "جميع المعاملات التي تتم لابد أن تكون مدعومة بالإيصالات". 
فهل يشترط هذا القانون استخدام إيصالات في المعاملات التي تقل قيمتها عن 5١‏ أو عن 
0 أو عن أي قيمة أخرى؟ فلا يوجد هناك أي إرشادات خاصة لتلك القاعدة ويستطيع 
كل شخص أن يفسرها كما يحلو له. 

- كثرة تداخل اللوائح التنظيمية مع بعضها البععض: فغالبا ما تقوم الولايات المتحدة 
الأمريكية والحكومات المحلية الموجودة في مختلف الولايات بإصدار قوانين تغطي 
المجالات نفسهاء إلا أن لها متطلبات مختلفة. ويتم البت في هذه الاختلافات عادة في 
النهاية داخل ساحات المحاكم. وتبقي قضية الامتثال أحد التحديات إلى أن يتم الفصل 
٤‏ هذه الأمور. 

- تغير اللوائح التنظيمية بصفة مستمرة: فغالباً ما تقوم الهيئات التنظيمية وبشكل مستمر 
ودوري بتغيير قوانينها أو التفسيرات المتعلقة بقوانينهاء الأمر الذي يجعل الامتثال تحديا كبيرا. 


1 دليل المسئول التنفيذي لحوكمة تقنية المعلومات 


حوكمة المؤسسات وأدوات الحوكمة وإدارة المخاطر والامتثال 6۸٣‏ 


لا بد من النظر إلى قضية امتثال المؤسسة على أنها عملية مستمرة وليست مشروعا 
ينفذ ممرة واحدة فقط. فضلا عن أن متطلبات الامتثال مستمرة في صدارة جداول الأعمال 
الخاصة بالمؤسسات: نظراً لأنه يجري محاسبة المؤسسات على وفائها بالتفويضات الكثيرة 
المتعلقة بأسواقها الخاصة أو مجالات عملياتها التشغيلية. 
هذا بالإضافة إلى أن المؤسسات قد تكون مطالبة أيضاً بمعالجة التشريعات التي تتم عبر 
الأنشطة الصناعية؛ كمعيار آمن بيانات بطاقات الدفع Payment Card Industry Data‏ 
Security Standard (PC D55)‏ وغيرها من القواعد التي سنتحدث عنها في الفصل 
الحادي عشر من هذا الكتاب» بالإضافة إلى القضايا الأخرى الخاصة بحوكمة وإدارة تقنية 
المعلومات التي تم طرحها في الفصل الخامس عشر من هذا الكتاب. ببساطة يمكن القول 
بآن اتساع دائرة وتعقيد القوانين واللوائح المتعلقة بالامتثال قد تتسبب في وجود تحديات 
للعديد من المؤسسات على مر السنين. تحتاج المؤسسات إلى الإقبال على مبادئ الامتثال 
الخاصة بنموذج 6180 من منظور أكثر إستراتيجية: الأمر الذي قد يساعدها على الانتقال 
إلى ما هو أبعد من مجرد الوفاء والالتزام بالقوانين والمعايير والمبادئ المفروضة بل إلى 
تحقيق فوائد تجارية ملموسة وحقيقية من مجمل استثماراتها في البنية التحتية. 
يتخلل نطاق الامتثال العديد من الأنشطة وعمليات التشغيل داخل المؤسسة. ويوضح 
الشكل التوضيحي )٤-١(‏ بعض المسائل التي يجب على المؤسسة أن تأخذها بعين الاعتبار 
عند قيامها بتحديد النطاق والنهج الذي ستستخدمه من أجل تحقيق مبادئ الامتثال 
الخاصة بنموذج ©61. لذا يجب على المؤسسة ألا تهمل أياً من هذه القواعد وأن تكون 
دائماً على علم بوجودها. غير أن اتباع نهج منتظم ومتناغم لاستخدام الإمكانيات والتقنيات 
الداعمة التي تقودها مبادئ الامتثال في جميع أنحاء المئؤسسة يمكن أن يسهم في منح 
المؤسسة العديد من الفوائد المحتملة التالية: 
- المرونة: تعد الأنظمة التشريعية الجديدة الصادرة عن الهينات المصرح لها بإصدارهاء 
والتغيير المستمر للقوانين الحاليةء واحدة من الصعوبات المتعلقة بعملية الامتثال. فمن 
خلال إدارة مبادرات الامتثال بشكل مركزي عبر بنية الامتثال على مستوى المؤسسة: يمكن 
للمؤسسة أن تتكيف وبسرعة أكبر مع هذه التغييرات. 


دليل المستول التنفيذي لحوكمة تقنية ا معلومات a‏ 


الفصل الثالث 


- انخفاض التكلفة الإجمالية لحيازة الامتثال: قد يكون هناك تأثير إيجابي في الاستثمارات 
جراء العديد من الأنظمة التشريعية. فعلى سبيل المثالء الاستثمار في نظام إدارة قواعد 
البيانات والسجلات كان نتيجة مطالبة العديد من اللوائح التنظيمية التشريعية للقيام 
بالاحتفاظ بالوثائق والسجلات الرسمية. الأمر الذي قد يقابل باستثمار فردي في إحدى 
الوسائل الخاصة بقاعدة بيانات المحتوى ونظام إدارة السجلات. 
- الميزة التنافسية: قد تسمح بنية الامتثال الواسعة والمتناغمة للمؤسسة بأن تكون أكثر 
إدراكا وقعتكها بعملياتهاء الأمر الذي قد يمكنها من سرعة ودقة الاستجابة والتكيف مع 
ضغوطات الامتثال الداخلية أو الخارجية. هذا بالإضافة إلى احتمالية أن تحتوي بعض 
الأنظمة التشريعية على العديد من الفوائد التجارية الهامة وا ملموسة. وذلك من خلال 
متطلبات كتخفيض الحد الأدنى من رأس المال والتي يمكن تفعيلها من خلال بنية الامتثال 
على مستوى المؤسسة بأكملها. 
تساعد العمليات الفعالة للامتثال الخاصة بنموذج 6120 المؤسسة أن تقوم بتغيير 
عمليات تشغيل الأعمال لديها والحصول على تبصر وإمكانية توقع أعمق من خلال 
المععلومات التي تخص الأعمال عندما تقوم بمعالجة المتطلبات المدفوعة تنظيميا. ولعل 
أهم العوامل المحركة للأعمال هنا هي القدرة على تحسين إذارة أصول المعلومات وإثبات 
الامتثال للالتزامات التنظيمية والقانونية والحد من مخاطر الدعاوى القضائية ومن تكاليف 
التخزين والاكتشاف وإثبات مساءلة الشركات. 


التطبيقات والسيانات 


التسهيلات االمرافق) 


حوكمة المؤسسات وأدوات الحوكمة وإدارة المخاطر والامتثال 6۸٣‏ 


شكل توضيحي )٤-۴(‏ 


اعتبارات المؤسسة الخاصة بنطاق أنشطة الامتثال الخاصة بها 


النطاق الخاص ممجال الامتثال 


٠‏ يجب أن تحدد المؤسسة اللوائح التنظيمية الأكثر ارتباطا بأعمالها 
أثناء تطوير خطتها الإستراتيجية. 


ه استدامة الامتثال يجب أن يكون 5 ااا ومتهما ق أي خطة 
إستراتيجية للامتثال. 


ه يجب وضع الهيكل التنظيمي لتلبية متطلبات (او مقاصد) 
محددة لكل تشريع من التشريعات (فعلى سبيل المثال» يوصي 
قانون ×50 بألا يكون رئيس مجلس الإدارة هو نفسه الرئيس 
التنفيذي) 


۰ يجبا توثيق وممارسة العمليات الرئيسية للامتثال. 


ه يجب أن تتم عمليات التدقيق والمراجعة للتأكد من أن العمليات 
الموثقة يتم استخدامها بشكل فعال بمعالجة متطلبات الامتثال. 


٠‏ التطبيقات يجب أن تصمم وتنفذ وتفحص بشكل دوري لضمان 
دعمها لمتطلبات كل قانون تشريعي. 


ه يحب حماية البيانات ومعالجتها بشكل صحيح طبقا لكل قانون 


j e 


2 


٠‏ يجب أن تكون جميع التسهيلات مصممة ومتاحة لتلبية 
احتياجات کل قانون تشریعی (فعلى سبيل المثالء قد تتطلب 
بعض القوالين التشريهية بان دكون السجلات مناخة ركل سهواة 
وسرعة خارج ا موقع). 





دليل المسئول التنفيذي لحوكمة تقنية المعلومات ۹۵ 


الفصل الثالث 


أهمية ممارسات ومبادئ نموذج 6۸٣‏ الفعالة: 

تحتاج المؤسسة إلى الاعتماد على ممارسات وإجراءات قوية لكل من عمليات الحوكمة 
وإدارة المخاطر والامتثال بهدف إيجاد برنامج فعال لنموذج 610. فعلى الرغم من أن 
معظم الفصول اللاحقة تركز على عمليات حوكمة تقنية المعلوماتء إلا أننا يجب ألا ننسى 
أبدا الأهمية الكبرى للعمليات القوية لكل من الحوكمة وإدارة المخاطر والامتثال والتي 
تقوم بدعم كل من حوكمة تقنية المعلومات وغيرها من عمليات التشغيل في المؤسسة. 
سيتم ذكر مبادئ وممارسات نموذج الحوكمة وإدارة المخاطر والامتثال 6۸٣‏ في جميع 
الفصول القادمة التي تركز أكثر على قضايا محددة في المخاطر والحوكمة. 

ومفالاً على ذلك» سيناقش الفصل الخامس عشر من هذا الكتاب أهمية تطبيق نظم 
متكاملة لحوكمة وإدارة تقنية المعلومات. فهو يناقش الأدوار والمسؤوليات المطلوبة 
لكل من الأشخاص والإدارات للوصول إلى حوكمة فعالة. كما يحدد أساليب التواصل مع 
المستويات المختلفة لقواعد الحوكمة. وكذلك الأمر بالنسبة للفصل التاسع عشر من هذا 
الكتاب» الذي ينظر إلى دور التدقيق الداخلي في حوكمة تقنية المعلومات المؤسسية. حيث 
يوضح هذا الفصل النهج المتبع في تقييم المخاطر والتخطيط لها من قبل إدارة التدقيق 
الداخلي لكي تقوم بتحديد قضايا الامتثال الأكثر أهمية بالنسبة لهاء ولي تقوم أيضاً بإيصال 
تلك القواعد والمبادئ الخاصة بالامتثال للجميع» ولكي تقوم بعد ذلك مراقبة الأداء الحقيقي 
لعملية الامتثال في المؤسسة. فهذا الفصل يناقش كيف هكن للقانون والتدقيق الداخلي أن 
يساعدوا ال مؤسسة على تحقيق الامتثال. 

على الرغم من أن البرامج القوية لحوكمة تقنية المعلومات تعد من الأمور الهامة 

للغاية: فإنها يجب أن تكون أيضاً مدعومة من قبل برامج الحوكمة وإدارة المخاطر وكذلك 
الامتثال الكلي لنموذج .6۸٣‏ كما يجب على المؤسسة أن تركز على العديد من أنشطتها 
على مبادئ برنامج 6120 بشكل قوي. قدم هذا الفصل بعض اللمفاهيم المؤسسية العالية 
المستوى الهامة لبرنامج .6۸٣‏ فهذه المفاهيم يجب أن تكون من المكونات الأساسية 
لعملىاث حوكمة تقنذة ال معلومات. 


۹1 دليل المسئول التنفيذي لحوكمة تقنية المعلومات 


الجزء الثاني 
أطر عمل لدعم حوكمة فعالة لتقنية المعلومات 


AA 


الفصل الرابع 
حوكمة تقنية المعلومات ونظم الرقابة الداخلية طبقا للجنة 
المنظمات الراعية (كوسو- 6056) 


إن الحاجة إلى نظم رقابة داخلية قوية وفعالة تعد عنصرا أساسياً في حوكمة تقنية 
المعلومات لأي مؤسسة. فقد ظهرت الحاجة إلى إنشاء رقابة داخلية وتقييمها منذ الأيام 
الأولى لظهور نظم التدقيق» بل كانت أيضاً قضية مهمة تعود إلى الأيام الأولى لنشأة نظم 
تدقيق تقنية ا معلومات. وق حين ظهرت و عديدة لنظم الرقابة الداخلية في 
السنوات الماضية فإن هناك تعريفا عاما جيداً يتناسب مع حوكمة تقنية المعلومات مفاده 
أن الرقابة الداخلية عبارة عن "عملية تتأثر مجلس إدارة كيان ما وإدارته وغيرهم من 
الأفراد في ذلك الكيانء ويكون الهدف من تصميمها الحصول على تأكيد معقول حول تحقيق 
الأهداف المنتظرة من فاعلية العمليات وكفاءتها وموثوقية وضع التقارير المالية للمؤسسة 
ونظم وعمليات تقنية المعلومات داخل المؤسسة: كل ذلك مع الالتزام بالقوانين واللوائح". 
ويتشابه هذا التعريف مع التعريف المعروف الموضوع من قبل اللجنة الأمريكية للمنظمات 
الراعية (0050). وهي هيئة مهمة تقدم توجيهات تتعلق بنظم الرقابة الداخلية التي 
سنناقشها لاحقا في هذا الفصل. 

يتحمل مديرو ال مؤسسة مسئولية تنفيذ عمليات الرقابة الداخلية وإدارتهاء في حين يعمل 
مدققوهم أطرافا مستقلة تقوم ممراجعة اختبارات نظم الرقابة الداخلية وإجرائها بالإضافة 
إلى رفع تقارير إلى الإدارة والأطراف الأخرى حال بلوغهم حد الكفاية. ويضم مدققو الرقابة 
الداخلية كلا من المدققين الداخليين والخارجيينء حيث يتبنى المدققون الخارجيون في 
الولايات المتحدة معايير التدقيق الخاصة بالمعهد الأمريي للمحاسبين القانونين (810284). 
وعموما يشترك المدققون الداخليون في اتباع إرشادات معهد المدققين الداخليين (11۸)» 
وهي منظمتهم المهنية الدولية التي سيتم التطرق إليها في الفصل التاسع عشر من هذا 
الكتاب. 


دليل المسئول التنفيذي لحوكمة تقنية المعلومات ۹۹ 


الفصل الرابع 


لكل من منظمتي التدقيق هاتين إرث يعود إلى أيام استخدام الورقة والقلم الرصاص 
في التدقيق وحتى قبل ما نشهده اليو من الاستخدام السائد والاعتماد على عمليات 
تة المحلومات ونظمها. كما قامت جمعية تدقيق ومراقبة نظم المعلومات (154©84]) 
والاتخصصون لديها ق حجال ققق نقنية المساومات ية جزه كبر من الحاجة إل وجوة 
نظم رقابية داخلية فعالة. 

يضطلع مدققو تقنية المعلومات بأدوار التدقيق الداخلي والخارجيء على الرغم من أن 
غالبية المهنيين هنا يعملون مدققين داخليين لمؤسساتهم. 

ومتابعة منا للمناقشة التي أجريناها في الفصل الثاني عن حوكمة تقنية المعلومات 
وقوانين ساربينز-أوكسلي (×50)» فإننا نقدم في هذا الفصل ما يعرف بإطار الرقابة الداخلية 
الخاص بلجنة المنظمات الراعية (0050) كما يلخص عمليات حوكمة تقنية المعلومات 
المرتبطة بهذه اللجنة (0050) في مؤسسات أعمال عصرنا الحاضر. إن كلا من نظم الرقابة 
الداخلية الخاصة بلجنة المنظمات الراعية (0050©) وقوانين ساربينز-أوكسلي (×50) التي 
ناقشناها في الفصل الثاني بدأت مجرد قوانين توجيهية لنظم الرقابة الداخلية ا معمول بها في 
الولايات المتحدةء غير أنها قد لاقت قبولا الآن في جميع أنحاء العالم. فقد كان كل منهما في 
الأساس عبارة عن توجيهات عامة مراجعة الشئون اطالية وعمليات التشغيل وتقبل التطبيق 
تماما في بيئات حوكمة تقنية ا لمعلومات. 

إن فهم إطار الرقابة الداخلية الخاص بلجنة المنظمات الراعية (©050©) واستخدامه 
يعد أمرا هاما لوضع عمليات فعالة لحوكمة تقنية المعلوفات. ورغم أن هذه القواغد 
والإجراءات ترجع أصولها إلى إعداد التقارير المالية وتدقيقهاء فإنه في عام اليوم الذي يرتكز 
على تقنية المعلومات تجد أن نظم أو ضوابط الرقابة الداخلية الخاصة بلجنة المنظمات 
الراعية (0050) تعتبر أدوات هامة في حوكمة تقنية المعلومات. وتلك هي القواعد التي 
نتبناها المؤسسات للتأكيد أو التصديق للجهات الرقابية بأن منظماتهم تتبع نظما رقابية 
اة قحالة وأنها مل وققا ليده القواعة الجديدة: 
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حوكمة تقنية المعلومات ونظم الرقابة الداخلية طبقاً للجنة المنظمات الراعية (كوسو- 6050©) 


أهمية أنظمة الرقابة الداخلية الفعالة ولجنة المنظمات الراعية (0050): 

تخد نظم الرقابة الذاخلية أخذ المفاهيم الأساسية وأكثرها أهمية ويجب على كبار 
المديرين والمهنيين على جميع المستويات أن يفهموهاء حيث يقوم المهني بوضع نظم الرقابة 
الداخلية واستخدامها في حين يقوم المدققون مراجعة النظم والعمليات التشغيلية والتقنية 
والمالية واختبارها بهدف تقييم ما لديها من نظم رقابة داخلية. ومع أن كلا من المدققين 
الداخليين والخارجيين لديهم أهداف متباينة فإن معظم مرجعياتنا في هذا الفصل تنطبق 
على كبار المديرين الذين تقع على عاتقهم مسئولية رئيسية لفهم قضايا حوكمة تقنية 
المعلومات وتقييم نظم الرقابة الداخلية ذات الصلة بتقنية المعلومات. 

وعلى الرغم من وجود تعريفات كثيرة مختلفة نسبيا لنظم الرقابة الداخلية في الماضيء 
فإن إطار الرقابة الداخلية الخاص بلجنة المنظمات الراعية (©005) الذي سنناقشه في 
الأجزاء التالية يقدم تعريفا مناسبا لكبار المديرين» فهذا التعريف يقر بأن الرقابة الداخلية 
لا تقتصر فقط على الأمور المالية وا محاسبية بل تتعدى هذا الحد لتشمل جميع عمليات 
اللؤسسة. ولان فة اللعلومات مكل أنضا جوا لا درا من جميع عمليات الأعمالء فإن 
نظم الرقازة الا ؤاك الصلة فة اللعلومات فة جوا رسيا مق قا اتقاس 
لنظم الرقابة الداخلية. ويمكن الحكم بان الس ق صورة وحدة أو عملية: يكون لها 
نظم رقابة داخلية جيدة إذا عامية تحقق مهمتها المعلنة بطريقة أخلاقية؛ ( (۲) تعطي 
انات دققة وفوفوقا بهاء (۳) تتوافق مع القوانين المعمول بها ومع سياسات المؤسسة. 
)٤(‏ توفر استخدامات فعالة و ملواردهاء وأخيرا (0) توفر حماية مناسبة للأصول. 
يتحمل جميع أعضاء المؤسسة المسئولية عن نظم الرقابة الداخلية في مجال عملياتهم 
التشغيلية وكذا عن تشغيلها على نحو فعال. 

وعلى الرغم من - أو بسبب - هذا التعريف الفضفاض لنظم الرقابة الداخلية: فإننا نجد 
أن 55 من المهنيين كانت لديهم مشاكل في فهم مفاهيم الرقابة الداخلية وتطبيقها اها 
وبالنظر إلى تعريفنا هذا بصورة مختلفة بعض الشيء نجد أن مفهوم الرقابة الداخلية ودعم 
عمليات الرقابة تعود إلى الإجراءات الآلية والأعمال الورقية الأساسية التي كانت تتم بشكل 
متكرر في جميع العمليات التجارية اليومية. وتعد أعمال الرقابة ضرورية للأنشطة داخل 
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وخارج مؤسسات اليوم وأن العديد من المفاهيم وا مبادى الأساسية تكون متماثلة بغض 
النظر عن مكان تطبيق الرقابة. وتقدم السيارة بعض أمثلة على الرقابة الأساسية: فعند 
الفط عا ا - ضابط السرعة - فإن السيارة تسير بشكل أسرع وعند الضغط على 
المكابح - وهو ضابط آخر للسرغة - فإن السيارة تسير سظء أو تتوقف» وعندما تدار عحلة 
القيادة فإن السيارة تقوم بالدوران» وبذلك يتحكم السائق في السيارة ويمثل كل من هذه 
الأجزاء الثلاثة النظام الأساسي للرقابة الداخلية بالسيارة. وإذا لم يقم السائق باستخدام 
المسرع أو المكابح أو عجلة القيادة أو إذا استخدمها بشكل غير ملائم فإن السيارة ستعمل 
خارج نطاق السيطرة. 

وبتوسيع هذا المفهوم قلي لا فإننا نجد أن إشارات التوقف وإشارات توجيه المرور 
وحواجز عبور البوابات تمثل جميعها نظم الرقابة الخارجية للسيارة وسائقهاء وفي حين أن 
قائد السيارة هو المشغل لعملية - أو نظام - الرقابة الداخلية بالسيارةء إلا أن سلطة اتخاذ 
القرار لديه تكون ضعيفة عند التعامل مع الرسالة ا موجهة إليه من إشارة ضوئية تمثل 
الرقابة الخارجية. 

ومن منظور الرقابة الداخلية هكن مقارنة المؤسسة بمثال السيارة الذي ذكرناه. كما 
سنجد عديداً من نظم وعمليات المؤسسة المفعلة مثل عمليات المحاسبة وعمليات البيع 
ونظم تقنية المعلومات؛؟ وإذا لم تقم الإدارة بتشغيل أو توجيه هذه العمليات بشكل صحيح: 
فإن المؤسسة رها تعمل خارج نطاق السيطرة. ويتعين على جميع أعضاء المؤسسة بلورة 
فهم ما لنظم الرقابة المناسبة وتقرر من خلاله ما إذا كانت هذه النظم مرتبطة بشكل 
صحيح بإدارة المؤسسة. ويشار إلى هذه النظم بمسمى أنظمة الرقابة الداخلية للمؤسسة. 
معلومات أساسية عن معايير الرقابة الداخلية: 

على الرغم من أن مفهوم الضوابط الداخلية وتعريفها أصبح من السهل اليوم فهمها 
کل جیه فإن هذا الأمر م يكن صحيحا حتى أواخر ثمانينيات القرن العشرين. وعلى 


الرغم من أننا كناندرك غالياً المفهوم العام, فإنه مم يتوافر اتفاق فاب بين العديد من 
المهنيين المهتمين بالأعمال والمحاسبة فيما يتعلق بالمقصود من "نظم الرقابة الداخلية 
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الجيدة". وتتمثل أمامنا نقطة انطلاق جيدة لذلك من خلال التعريفات الأولى التي 
صدرت ف البداية من المعهد الأمريي للمحاسبين القانونيين (410728) واستخدمتها 
فته الأدراق اكالية HC als‏ سفيذا انون بمرضة الأمراق ا 
الخاص بلوائح عام .١9756‏ ومع حدوث تغيرات بمرور السنينء فإن معايير معهد المحاسبين 
القانونيين الأمريكيين (41061784) التي تم تدوينها في البداية وكانت تسمى بيان معايير 
التدقيق رقم ١‏ (110.1 2!)545 حددت ممارسة التدقيق الخارجي للبيانات المالية في 
الولايات المتحدة لسنوات عديدة. وقد تعرض هذا التعريف الذي وضعه المعهد الأمريي 
للمحاسبين القانونيين )41٤٥۴۸(‏ للرقابة الداخلية بالطبع لتغييرات وتنقيحات عن فيز 
السستة. مخلال هذه الشرة وقعديدا خلال سعيتنات القرق ال فن ظيرت ق قات 
عديدة للرقابة الداخلية صدرت عن هيئة الأوراق المالية والبورصة الأمريكية (©58) 
والمعهد الأمريكي للمحاسبين القانونين (810124) إلى جانب العديد من التفسيرات 
والإرشادات التي وضعتها وطورتها بعد ذلك كبرى شركات التدقيق الخارجي. 

لقد تغيرت الأوضاع في الفترة الأخيرة من سبعينيات وأوائل ثمانينيات القرن العشرينء 
تلك الفترة التي شهدت العديد من الإخفاقات في المؤسسات الأمريكية الكبرى نظرا لعدة 
عوامل منها ارتفاع معدلات التضخم وارتفاع أسعار الفائدة المصاحبة لذلك. وق عديد من 
الوقائع أشارت الشركات إلى وجود أرباح مناسبة في تقاريرها المالية المدققة, في حين أنها 
وبعد فترة وجيزة من نشر تلك التقارير المالية المدققة الإيجابية تتعرض لانهيار مالي. م 
تتسبب التقارير المالية الاحتيالية إلا في حدوث القليل من تلك الإخفاقات» في حين حدث 
أغلبُها بسبب ارتفاع معدلات التضخم أو قضايا أخرى كانعدام الاستقرار في المؤسسات. 
وعلى الرغم من ذلكء فقد اقترح العديد من أعضاء الكونجرس الأمريكي سن تشريع ل 
"تصحيح" الإخفاقات ال محتملة في الأعمال وعمليات التدقيق» وقد تم صياغة القوانين 
وعقدت جلسات الاستماع في الكونجرس لكنها لم تسفر عن تمرير أي تشريع. وللقضاء على 
هذه المخاوف ونظرا لعدم وجود إجراء تشريعي» فقد تم تشكيل اللجنة الوطنية المعنية 
بدراسة وضع التقارير المالية الاحتيالية. وقد ضمت هذه اللجنة خمس منظمات مهنية 
هي: 11۸ و4104 وقد سبق ذكرهما؛ ومعهد المديرين التنفيذيين ا ماليين الدوليين (۴۴1) 
وهي جمعية من كبار المديرين الطماليين؛ وجمعية ال محاسبين الأمريكين (444)؛ ومعهد 
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الا الا R4‏ وت عدي للحا ين الأمريكية 4(7 منظية هة 
تضم المحاسبين الأكاديميينء في حين بمثل معهد المحاسبين الإداريين (81/11) المنظمة اللهنية 
للمحاسبين الإداريين أو محاسبي التكاليف. 

وقد نيت النجنة الوطية للسية يوضع التقارير الاسهالية ب"الجتة درودواق" فسبة: إن 
رئيسهاء وقد اقتصرت أهداف هذه اللجنة على تحديد العوامل والأسباب التي سمحت بوجود 
تقارير مالية احتيالية وعلى إصدار توصيات من شأنها الحد من تكرار حدوثها. وقد صدر 
التقرير النهائي للجنة تريدواي في عام 1۹۸۷م" وتضمن عددا من التوصيات للعاملين ف الإدارة 
ومجالس الإدارة وأقسام المحاسبة القانونية العمومية وغيرهم. كما دعت أيضاً إلى إعداد 
تقارير إدارية عن فاعلية نظم الرقابة الداخلية لديها والتأكيد على العناصر الرئيسية التي 
يجب توافرها في نظام الرقابة الداخلية متضمنا ذلك توافر بيئة رقابة قوية وقواعد سلوكية 
ولجان تدقيق معنية ومختصة وإدارة تدقيق داخلي قوية. وقد أوضح تقرير لجنة تريدواي 
مرة أخرى عدم وجود تعريف ثابت للرقابة الداخليةء ويشير بذلك إلى الحاجة إلى مزيد من 
العمل في المستقبل. وقد قامت لجنة المنظمات الراعية (0050) نفسها التي أدارت تقرير 
تريدواي بالتعاقد في وقت لاحق مع مختصين من الخارج وأطلقت مشروعا لتعريف الرقابة 
الداخلية» وعلى الرغم من عدم إصدار اللجنة لأية معاييرء فإنها أصدرت إطارا للرقابة الداخلية 
خاصا بها ستتم مناقشته ف الأجزاء التالية ويشار إليه عبر فصول هذا الكتاب. 


إطار الرقابة الداخلية الذي أصدرته لجنة المنظمات الراعية (0050): 

كما ذكرنا من قبلء يشير مصطلح لجنة المنظمات الراعية (0050)) إلى المنظمات المهنية 
الخمس العاملة في مجال التدقيق وال محاسبةء تلك المنظمات التي شكلت لجنة لوضع تقرير 
الرقابة الداخلية المشار إليه؛ ويحمل مسماه الرسمي "الإطار المتكامل للرقابة الداخلية”". 
سنشير إلى هذا الإطار عبر هذا الكتاب بعبارة "تقرير أو إطار الرقابة الداخلية" 050©, 
وهذا بخلاف إدارة المخاطر المؤسسية للجنة المنظمات الراعية (1131 20050) وإطار 
إدارة الموارد الوارد في الفصل الثامن من هذا الكتاب. ومنذ صدور تقرير الرقابة الداخلية 
للجنة ا لمنظمات الراعية (©005) للمرة الأولى في سبتمبر 1597 اقترح إطار مشترك لتعريف 
نظم الرقابة الداخلية فضلا عن وضع إجراءات لتقييم هذه النظم الرقابية. وما إن مضت 
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سنوات قليلة من صدروه عام 1197م <> حتى أصبح هذا الإطار هو الإرشادات المتعارف عليها 
في جميع أنحاء العام لفهم ووضع رقابة داخلية فعالة في كل أنظمة الأعمال تقريبا. وتقدم 
الفقرات التالية وصفا لإطار الرقابة الداخلية للجنة ا منظمات الراعية (0050))) واستخدامه 
آداة لحوكمة تقنية المعلومات لإجراء تقديرات وتقييمات لنظم الرقابة الداخلية. 


يوجد لدى جميع الشركات العامة 3 ويا هيكل إجراءات رقابية معقدة. ووفقا لكل 
اللخطط التنظيمي التقليدي» قد يكون هناك مستويات إدارية عليا ووسطى ف وحدات 
التشغيل المتعددة أو ضمن الأنشطة المختلفة. وإضافة إلى ذلكء قد تختلف الإجراءات 
الرقابية نوعا ما في كل من هذة المستويات والمكونات.. فعلى سبيل ايلثال» يمكن أن تعمل 
إحدى وحدات التش غيل ف بيئة عمل منعظمة تكون فيها العمليات الرقابية:مهيكلة جاع 
في حين قد تعمل وحدة أخرى في صورة مشروع ناشئ بهيكل رسمي أقل بكثير. ومن ثم 
فالمستويات المختلفة للإدارة في هذه المؤسسات سيكون لها رؤى مختلفة عن كيفية التعامل 
مع نظم الرقابة. وإذا ما تساءلنا هنا "كيف تصف نظام الرقابة الداخلية الخاص بك؟" فإننا 
سنتلقى إجابات مختلفة من أشخاض من مختلف المستويات أو من وحدات كل من هذه 
المكونات اممؤسسية. 

وتقدم لنا لجنة المنظمات الراعية (0050) وصفا ممتازاً لهذا المفهوم متعدد الأبعاد 
لنظم الرقابة الداخلية» حيث وضعت تعريفا للرقابة الداخلية كما يلى: 


الرقابة الداخلية هي عملية يقوم على تنفيذها مجلس إدارة كيان معين وإدارة وغير 
ذلك من الأفراد ويتم تصميمها لتعطي تأكيدا محولا فيما يتعلق بإنجاز الأهداف ع 
النواحى ي التالية: 


ه فاغلية وكفاءة عمليات التشغيل. 
٠‏ مصداقية وضع التقارير امطالية. 
٠‏ الالتزام بالقوانين واللوائح المعمول بها". 
وللاستفادة من هذا التعريف الأشمل للرقابة الداخلية تستخدم لجنة المنظمات الراعية 
(050) نموذجا أو إطارا ثلا الأبعاد لوصف نظام الرقابة الداخلية في المؤسسة. 
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الفصل الرابع 


ويبين الشكل التوضيحي )١-6(‏ إطار الرقابة الداخلية الخاص بلجنة المنظمات الراعية 
(0050) على أنها نموذج ثلائي الأبعاد مستويات خمسة على الجانب المواجه من الشكل 
والمكونات الثلاثة الرئيسية للرقابة الداخلية - وهى فاعلية العمليات التشغيلية وكفاءتها 
وموثوقية التقارير المالية والالتزام بالقوانين واللوائح المعمول بها - تأخذ قطاعات متساوية 
إلى حد ما من النموذج في شكل شرائح عبر قمتهء ويبين الجانب الأهن من الشكل ثلاثة 
أقسام: ومع ذلك قد بوحد عدید من هذة الأقسام تبعا لبنية ايلو سسة. 

كما أن كل مستوى من مستويات الجهة الأمامية من إطار الرقابة الداخلية الخاص 
بلجنة المنظمات الراعية (©005). بدءاً من المتابعة في القمة ونزولاً إلى بيئة نظم الرقابة 
الداخلية» سوف تتم مناقشته بمزيد من التفاصيل في الأقسام التالية. 


شكل توضيحي )١-6(‏ 


إطار الرقابة الداخلية 050© 










المعلومات والاتصال 
للضوابط الداخلية 






۱۰٦‏ دليل المسئول التنفيذي لحوكمة تقنية المعلومات 


حوكمة تقنية المعلومات ونظم الرقابة الداخلية طبقاً للجنة المنظمات الراعية (كوسو- 6050©) 


وتدور الفكرة هنا حول أنه عندما ننظر إلى طبقة أنشطة الرقابة الداخلية في وسط 
النموذج - مثل الإقفال ال مالي في نهاية السنة المالية - فإنه يتعين علينا أن نعتبر أن الرقابة 
فيما يتعلق بوحدة الأعمال أو المؤسسة أو الأقسام المتعددة على جانب الإطار تعمل حيث 
يتم تثبيت هذا الضابط الرقابي. ومع ذلكء ففي هذا النموذج ثلاني الأبعاد نجد أن كل 
ضابط رقابي مرتبط بجميع الضوابط الأخرى في الصف نفسه أو الحزمة أو العمود. 

إن الهدف من إطار الرقابة الداخلية الخاص بلجنة المنظمات الراعية (0050) يتمثل 
في أنه ينبغي علينا دائماً أن ننظر إلى كل عنصر من عناصر الرقابة الداخلية الذي تم تعريفه 
طبقاً لمدى ارتباطه بعناصر الرقابة الأخرى المقترنة به في الإطار ثلاثي الأبعاد. ففي مثالنا عن 
نظم الرقابة الداخلية الخاصة بالإقفال المالي في نهاية السنة الماليةء يتعين على المؤسسة أن 
تحتفظ بروابط معلومات واتصالات متعلقة بعمليات الحساب الختامي» كما يجب متابعة 
النظام الرقابي. وبالنزول إلى المستوى التاليء نجد ضرورة وجود أنشطة لتقييم المخاطر 
مصاحبة لعملية الرقابة المالية التي يجب أن تعمل في بيئة رقابة داخلية مناسبة: كما قد 
يكون للقضايا المتعلقة بعمليات التشغيل والامتثال عوامل مؤثرة في النظام الرقابي المتبع 
الذي قد يعمل على أي مستوى من الهيكل التنظيمي للمؤسسة. 

وبينما تصف الأقساه التالية إطار الرقابة الداخلية للجنة المنظمات الراعية (050©) 
بمزيد من التفصيلء فإنه يجب على كبار المديرين قي المؤسسة فهم إطار الرقابة الداخلية 
للجنة المنظمات الراعية (0050) فهما دقيقا وكذلك أثره ف حوكمة تقنية المعلومات» 
وبغض النظر عن المجال قيد المراجعة يجب على كبار المديرين دائماً مراجعة نظم الرقابة 
الداخلية لديهم وتبنيها باعتبارها من هذا النوع متعدد المستويات وثلاني الأبعاد. وتقوم 
الأقسام التالية بوصف إطار الرقابة الداخلية للجنة المنظمات الراعية (0050) بمزيد من 
التفاصيلء وذلك ابتداء من أول مستوى للجهة الأمامية من الإطار أو من أسفله. 


سئة الرقابة: 


يُقصد بالأساس أو المستوى السفلي من إطار الرقابة الداخلية للجنة المنظمات الراعية 
(0050) ما تطلق عليه لجنة المنظمات الراعية (0050) اسم بيئة الرقابة الداخلية. 


دليل المسئول التنفيذي لحوكمة تقنية ا معلومات 1۷ 


الفصل الرابع 


وينبغي اعتبار بيئة الرقابة الداخلية أساساً لجميع مكونات الرقابة الداخلية الأخرى؛ كما 
أن له تأثيراً في كل من الأهداف الثلاثة وأنشطة الوحدة والمؤسسة بكاملها. كما تعكس بيئة 
الرقابة الداخلية التصور العام والوعي والتصرفات والأفعال من قبل مجلس الإدارة والإدارة 
وغيرهم بشأن أهمية نظم الرقابة الداخلية في المؤسسة. وبينما يوجد العديد من المفاهيم 
الأساسية هناء فإن كل مؤسسة سيكون لديها أساس رقابة داخلية فريدٌ خاص بها. 


ويقوم تاريخ المؤسسة وثقافتها غالبا بالدور الرئيسي في تكوين بيئة الرقابة الداخلية 
هذه. فعندما يكون للمؤسسة إدارة قوية على مدار تاريخها تشدد على تقديم منتجات 
خالية من العيوب» وعندما تقوم الإدارة العليا يا بالترويج لأهمية وجود منتجات عالية الجودة 
إلى كل مستويات المنظمةء فإن ذلك يصبح عاملا ا ف ئة الرقانة المؤسسية: كما أن 
الرسائل التي تأتي من الرئيس التنفيذي (080©) أو من غيره من كبار مديري المؤسسة تعرف 
1 "النغمة السائدة"؛ رسائل الإدارة لجميع أصحاب المصلحة. أما إذا كانت سمعة الإدارة 
العليا أنها "تتغاضى" عن انتهاكات سياسة المؤسسة: فإن هذا النوع نفسه من الرسائل 
السلبية سوف يصل بال مثل إلى المستويات الأخرى في المؤسسة. إن النغمة الإيجابية السائدة 
لدي الإدارة العليا تعد عنصرا ارلا لبيئة رقابة مؤسسية قويةء سواء لعمليات تقنية 
المعلومات أو لجميع الأنشطة الأخرى. 

ويجب على كبار المديرين أن يحاولوا دام إدارة بيئة الرقابة الشاملة في منظماتهم 
وفهمهاء وتصف الفقرات التالية المكونات الأساسية لبيئة الرقابة. 


النزاهة والقيم الأخلاقية: 

إذا قامت المؤسسة بوضع قواعد سلوكية قوية تشدد على النزاهة والقيم الأخلاقية 
وإذا ظهر التزام أصحاب المصلحة بتلك القواعد. فسيكون لدى أصحاب اللصلحة جميعهم 
ما يكفي من الضمانات التي تفيد احتفاظ المؤسسة مجموعة جيدة من القيم. إن مدونة 
القواعد الأخلاقية أو السلوكيةء كما نوقشت ف الفضل العشرين من هذا الكتاب» تعد مكونا 
خاما عن نكوتات السوكمة المؤسسية وة فة امات 
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حوكمة تقنية المعلومات ونظم الرقابة الداخلية طبقاً للجنة المنظمات الراعية (كوسو- 0050©) 


وعلى كل حال» حتى وإن كان لدى المؤسسة قواعد سلوكية قوية» فإن مبادئها غالبا ما 
قد تنتهك بسبب الجهل وليس بسبب المخالفات المتعمدة من قبل الموظف. ففي كثير من 
الأحيانء قد لا يدرك الموظفون أنهم يرتكبون خطأ أو قد يعتقدون خطأ أن أفعالهم تصب 
في مضلحة المؤسسة. هذا الجهل ينتج غالبا عن ضع ف التوجيه اللعتوي من قبل الإدارة 
العليا أكثر من كونه ناتجا عن نية الغش من قبل الموظفء وأنه يلزم نقل سياسات اممؤسسة 
وقيمها إلى جميع مستوياتها. وبينما قد يوجد "فاسدون" غالباً في أي مؤسسة: فإن الرسائل 
المعنوية القوية سوف تشجع الجميع على العمل بشكل سليم» وينبغي أن يكون الهدف 
دائماً نقل الرسائل أو الإشارات المناسبة إلى جميع أنحاء المؤسسة. 

يتعين على أصحاب المصلحة جميعهم: وخصوصا كبار المديرين» أن يقهموا بشكل جید 
مدونة قواعد السلوك وكيفية تطبيقها. وإذا م تعد القواعد الحالية مناسبة للزمن أو لا يبدو 
آنها تعالج قضايا أخلاقية هامة تواجه المؤسسة أو لا يبدو أن المؤسسة قادرة على نقل هذه 
القواعد إلى أصحاب المصلحة بصورة منتظمة» فإن الإدارة تكون في حاجة إلى أن "تنشط" 
وتصحح هذا القصور. وبينما تصف مدونة قواعد السلوك قواعد السلوك الأخلاقي» وآنه 
يتعين على الإدارة العليا أن تنقل الرسالة الأخلاقية السليمة في جميع أنحاء ا مؤسسة؛ نجد 
أن الحوافز والإغراءات الأخرى يمكن أن تؤدي إلى تآكل هذه البيئة الرقابية الشاملة: كما 
قد ميل بعض الأفراد إلى الانخراط في أعمال غير شريفة أو غير قانونية أو غير أخلاقية إذا 
أعطتهم مؤسساتهم حوافز أو إغراءات لعمل ذلك. على سبيل المثال: قد تقوم المؤسسة 
بوضع أهداف أداء غير واقعية ومرتفعة جدا للمبيعات أو حصص الإنتاج» فإذا كانت هناك 
مكافآت ضخمة لتحقيق أهداف الأداء تلك: أو ما هو أسوأ كوجود تهديدات قوية تنذر 
بفقد الأهداف؛ فإن ذلك قد يشجع الموظفين على المشاركة في الممارسات الاحتيالية أو 
المشكوك فيها لتحقيق تلك الأهداف. 


الالتزام بالكفاءة: 


مكن أن تاكل البيئة الرقابية للمؤسسة بشكل خظي إذا وظفت غددا كبيرا من الأشخاض 
ممن يفتقدون امهارات الوظيفية المطلوبة. وهنا تظهر حاجة المؤسسة لتحديد مستويات 
الكفاءة المطلوبة مهام الوظائف المتنوعة بها وكذا ترجمة هذه المتطلبات إلى مستويات 
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ضرورية من المعرفة والمهارة. فعند وضع الأشخاص المناسبين في الوظائف المناسبة وتدريبهم 
بالشكل المناسب إذا تطلب الأمر ذلك: فإن المؤسسة تكون قد حققت بذلك مكونا مهما 
للبيئة الرقابية طبقا لإطار (©6050©). 


مجلس الإدارة ولجنة التدقيق: 

تتأثر بيئة الرقابة بشكل كبير بأعمال إدارة المؤسسة ولجنة التدقيق فيهاء فوجود 
لين إدارة شقال ومستهفل يح e‏ لناب لبقة الزقاية EKE a‏ 
(6680). ومن خلال وضع سياس ات رفيعة المسعوى ومراجعة الس لوك العام للشركة. 
يتحمل مجلس إدارة المؤسسة ولجنة التدقيق فيها المسؤولية المطلقة لتحديد "النغمة 
السائدة" داغل اللمؤسسة. 


فلسفة الإدارة ونمط التشغيل: 

إن الإدارة العليا ونمط التشغيل الذي تعمل به له تأثير كبير في البيئة الرقابية 
للمؤسسة» فبعض مديري الإدارة العليا في كثير من الأحيان يتحملون مخاطر كبيرة في 
مشاريع أعمالهم أو منتجاتهم الجديدة. في حين يكون غيرهم حذرين جدا أو متحفظين. 

ويبدو أن بعض المديرين يعملون وفق أهوائهم, في حين يصر غيرهم غلى ضرورة 
الموافقة السليمة على كل إجراء وتوثيقه كما ينبغي. كما قد يتبنى البعض نهجاً قاسيا 
في تفسيراتهم للقواعد الضريبية وإعداد التقارير المالية ٤‏ حن أن البعض الآخر يتبع 
التعليمات بدقة. ولا تعني هذه التعليمات بالضرورة أن نهجا معينا جيدٌ والآخر سين 
على طول الخط. 

إن هذه الاعتبارات الخاصة بفلس فة الإدارة والنمط التشغيلي تمثل جميعها جزءا من 
بيئة الرقابة للمؤسسة. وف حين أنه لا توجد مجموعة واحدةٌ من الأنماط والفلسفات تكون 
هي الأفضل لجميع المؤسساتء فإن هذه العوامل تكون مهمة عند دراسة المكونات الأخرى 
للرقابة الداخلية وممارسات حوكمة تقنية المعلومات في مؤسسة ما. 
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الهيكل التنظيمي: 

يوفر مكون الرقانة الداغلية هذا إظارا لأنفظة المغظيظ والقتقيذ والرقائة والمثاة 
للمساعدة في تحقيق الأهداف العامة للمؤسسة. إن عامل بيئة الرقابة هذا يتعلق بكيقية 
إدارة الوحدات أو الإدارات وتنظيمها. ومع أن الهيكل التنظيمي يمثل كا مهما من جوانب 
البيئة الرقابية للمؤسسة: فإنه لا يوجد هيكل معينٌ يقدم لنا بيئة رقابية داخلية مفضلة. 


إن الهيكل التنظيمي هو الطريقة أو النهج الموضوع لجهود العمل الفردي التي يلزم 
تخصيصها وتكاملها بهدف تحقيق الأهداف العامة. فكل مؤسسة چن إلى خطة فعالة 
لتنفيذ هذا الهيكل التنظيمي؛ لكن ضعف نظم الرقابة في المنظمة قد يؤثر بشكل كبير في 
البيئة الرقابية بأكملها. وعلى الرغم من الخطوط الواضحة للسلطة: فإن المؤسسبات في كثير 
من الأحيان تعاني بعض أوجه القصور الداخلية التي يمكن أن تزيد كلما اتسعت المؤسسات 
بمرور الوقتء الأمر الذي يتسبب في حدوث خلل في إجراءات الرقابة. 


تخصيص السلطة والمسئولية: 

يتشابه هذا الجانب من بيئة الرقابة مع مكون الهيكل التنظيمي الذي سبق مناقشته؛ 
ويحدد الهيكل التنظيمي للمؤسسة تخصيص إجمالي جهود العمل في المؤسسة وتكاملها. ويمثل 
تخصيص الصلاحية في الأساس الطريقة التي يتم بها تحديد المسئوليات من حيث التوصيف 
الوظيفي ويتم صياغتها طبقاً لمخططات المؤسسة. وعلى الرغم من أن المهام الوظيفية لا يمكن 
أن تخلو ناما من بعض المسئوليات المتداخلة: فإنه كلما كان بيان هذه المسئوليات أكثر دقة 
كان ذلك أفضل. إن الإخفاق في وضع تعريف واضح لصلاحية حيينن محل العمل دتسبب 
غالباً في الالتباس والتعارض بين جهود العمل الفردية والحما 


سباسات وممارسات الموارد البشرية: 

تشمل ممارسات الموارد البشرية توظيف وتوجيه وتدريب وتقييم العامليين وكذلك 
تقديم المشورة لهم وترقيتهم ومكافأتهم واتخاذ الإجراءات الإصلاحية المناسبة بشأنهم. 
وبينما يتعين على إدارة الموارد البشرية الاحتفاظ بسياسات معلنة ومواد إرشادية ملائمة 
وكافية» فإن ممارساتها الفعليه تبعث برسائل قويه للموظفين عن ال مستويات المتوقعة لتوافق 
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الفصل الرابع 


الرقابة الداخلية والسلوك الأخلاقي والاختصاص. إن الموظف الأعلى الذي يتجاهل أو ينتهك 
صراحة سياسة إدارة الموارد البشرية سرعان ما يبعث رسالة ها ارتكب إلى المستويات الأخرى 
ف المؤسسة:ء ويزداد صدى هذه الرسالة بشكل أكير سوه عندما ينال a‏ أدنى عقوبة 
تأديبية لانتهاكه السياسة نفسها في حين يغض الجميع الطرف عن المخالف الأعلى. 

تعد سياسات إدارة الموارد البشرية وإجراءاتها الفعالة مكونا بالغ الأهمية فى بيئة الرقابة 
الخاصة بلجنة ال منظمات الراعية (0050)) بكاملها. ولن تحقق الرسائل الواردة من قمة 
الهيكل القوي للمؤسسة إلا القليل إذا انعدم لدى المؤسسة إجراءات وسياسات قوية لإدارة 
الموارد البشرية. 

خلاصة القول: كما أن الأساس المتين أمرٌ ضرورى لإنشاء مبنى متعدد الطوابق» فإن بيئة 
الرقابة تعد أساس المكونات الأخرى للرقابة الداخلية. إن المؤسسة التي ترك أن تتش دة 
5 داخلية قوية ينبغي عليها أن تول اهتماما خاضا لوضع كو لاقن صلب في اکا 

بيئة الرقابة تلك. إن بيئة الرقابة الداخلية الخاصة بلجنة المنظمات الراعية (20050) لا 

تتطلب مجرد مجموعة قواعد من نوعية "هل يتساوى الدائنون مع المدينون" لكنها تحتاج 
إلى سياسات قوية وفعالة وشاملة على مستوى اللؤسسة. 


تقييم المخاطر: 

إن المستوى التالي - أو الطبقة التي تعلو مستوى بيئة الرقابة في إطار الرقابة الداخلية 
للجنة المنظمات الراعية (0050) - هثل مستوى تقييم المخاطر. إن قدرة المؤسسة 
على تحقيق أهدافها هكن أن تكون عرضة للمخاطر سبي وجوه نوعية من العوامل 
الداخلية والخارجية. كما أن فهم بيئة المخاطر وإدارتها يمثل عنصرا أساسيا في تأسيس 
الرقابة الداخلية ويجب أن تباشر المؤسسة إجراءات تقيّم من خلالها المخاطر المحتملة 
التي قد تؤثر في تحقيق أهدافها المتنوعة. ويركز مكون تقييم المخاطر هذا على الرقابة 
الداخلية داخل المؤسسة, ويكون تركيزه أضيق بكثير من تركيز إطار إدارة مخاطر المؤسسة 
ERM)‏ 0050) وقضايا إدارة مخاطر حوكمة تقنية المعلومات التي تتم مناقشتها في 
الفصل الثامن من هذا الكتاب. 
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وينبغي أن يكون تقييم مخاطر الرقابة الداخلية للجنة المنظمات الراعية (©0050) 
عملية استشرافية يتم تنفيذها على جميع المستويات وبشكل فعلي على جميع الانشطة 
داخل المؤسسة. ويصف إطار الرقابة الداخلية للجنة المنظمات الراعية (©0050) تقييم 
المخاطر على أنها عملية من ثلاث خطوات: 

-١‏ تقدير تأثير ا مخاطرة. 

۲- تقييم احتمال أو تكرار حدوث المخاطرة. 

"- البحث ق كىفىة إدارة المخاطرة كما دنىغى وتقييم الإجراءات التى يجب اتخاذها. 

إن عملية تقييم المخاطرة الخاص بلجنة المنظمات الراعية (©0050©) ثلقي بالمسئولية 
على الإدارة لتقييم ما إذا كانت المخاطرة مؤثرة: فإن كان الأمر كذلك» فعلى الإدارة اتخاذ 
الإجراءات المناسبة. 

كما تؤكد الرقابة الداخلية الخاصة بلجنة ال منظمات الراعية (©2005) أن تحليل المخاطر 
ليس عملية نظريةء ولكنه في كثير من الأحيان قد يكون حاسما في تحقيق النجاح الشامل 
للكيان المؤسسي. ويجب على الإدارةء بوصفها جزءا من التقييم الشامل الذي تجريه على 
الرقابة الداخليةء أن تتخذ الخطوات اللازمة لتقييم المخاطر التى قد تؤثر في المؤسسة كلها 
فضلا عن المخاطر التي تدور حول مختلف أنشطة المؤسسة وكياناتها. وتوجد نوعية من 
المخاطرء تنتج عن عوامل داخلية أو خارجيةء قد تؤثر ف المؤسسة بشكل عام. 

إن عنصر تقييم المخاطر الخاص بلجنة المنظمات الراعية (080) هو المجال الذي 
يدور حوله الكثير من اللغط والبلبلة بسيب تشابه مسماه مع إطار إدارة المخاطر الخاص 
بلجنة ال منظمات الراعية (15188/1 2050)) الذي تتم مناقشته في الفصل الثامن من هذا 
الكتاب. إن مكون تقييم المخاطر لإطار الرقابة الداخلية الخاص بلجنة المنظمات الراعية 
(0050©) يشتمل على تقييمات للمخاطر داخل مؤسسة فرديةء في حين يشمل إطار إدارة 
المخاطر الخاص بلجنة المنظمات الراعية (781231 0050) الكيان المؤسسي بأكمله وخارجه. 
وفي واقع الأمرء هاتان قضيتان منفصلتان؛ وأحدهما لا يصح أن يكون بديلا عن الآخر. 
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أنشطة الرقابة: 

تسمى الطبقة التالية من إطار الرقابة الداخلية الخاص بلجنة المنظمات الراعية 
(0050) أنشطة الرقابة وتمثل العمليات والإجراءات التي تساعد على ضمان تنفيذ 
الأعمال المخصصة لمعالجة المخاطر. وتوجد أنشطة الرقابة على جميع المستويات» وف كثير 
من الحالات قد يتداخل بعضها مع بعض. وهي عناصر ضرورية لبناء ثم ترسيخ نظم رقابه 
داخلية فعالة في المؤسسة. 

يحدد إطار الرقابة الداخلية الخاص بلجنة المنظمات الراعية (20050©0) سلسلة من هذه 
الأنشطة التي يمكن تصنيفها بشكل عام دليلاً إرشاديا أو تقنية معلومات أو نظم رقابة 
إدارية» كما هكن توصيفها من منظور كونها أنشطة وقائية أو تصحيحية أو كاشفة. وعلى 
الرغم من عدم وجود مجموعة تعريفات للرقابة الداخلية تكون صالحة لجميع الأحوالء 
فإن نظم الرقابة الداخلية الخاص بلجنة المنظمات الراعية (0050©) توصي بأنشطة الرقابة 
التالية للمؤسسة: 


- مراجعات المستوى الأعلى: 

يتعين على الإدارة العليا مراجعة نتائج أدائها ومقارنة تلك النتائج بالميزانيات والإحصاءات 
التنافسية وغيرها من مقابيس المقارنة ا مرجعية. ومما ممثل هنا أنشطة رقابية تلك الإجراءات 
التي تتخذها الإدارة لمتابعة نتائج مراجعات المستوى الأعلى ولاتخاذ إجراءات تصحيحية. 


الإدارة الفنية أو الوظيفية المباشرة: 

يجب على المديرين على مختلف مستوياتهم مراجعه التقارير التشغيلية الصادرة من 
أنظمتهم الرقابية واتخاذ الإجراءات التصحيحية بالشكل المناسب. ويوجد لدى العديد من 
أنظمة الإدارة تقارير استثنائية تغطي تلك الأنشطة الرقابية. فعلى سبيل المثال» ضرورة وجود 
آلية في نظام أمن تقنية المعلومات للإبلاغ عن محاولات الوصول غير المصرح به وضرورة 
أن يضاحب ذلك نشاط رقاب يقوم بمتابعة هذه الأحداث المبلغ عنها واتخاذ الإجراءات 
التصحيحية ال مناسبة. ويرتبط بعض هذه الأنشطة ارتباطاً وثيقا بأفضل ممارسات مكتبة 
البنية التحتية لتقنية المعلومات التي تتم مناقشتها في الفصل السادس من هذا الكتاب. 
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معالجة المعلومات: 

تحتوي نظم تقنية المعلومات غالبا على نظم رقابة للتحقق من التوافق في مجالات 
معينة ثم الإبلاغ عن أي استثناءات ف الرقابة الداخلية. وينبغى أن تُقابل هذه البنود 
الاستثنائية بإجراء تصحيحي من خلال إجراءات مؤتمتة للنظم أو موظقي التشغيل أو 
الإدارة. وتشمل أنشطة الرقابة الأخرى نظم رقابة على تطوير نظم جديدة أو على الوصول 
إلى ملفات البيانات والبرامج. 


نظم الرقابة المادية: 

من الضروري احتفاظ المؤسسة بنظم رقابة مناسبة على أصولها المادية متضمناً ذلك 
التجهيزات والمخزون والأوراق المالية القابلة للتداول. ويمثل هنا البرنامج الفعال للجرد 
المادي الدوري نشاطا رئيسياً من أنشطة الرقابةء كما أن تقنية المعلومات والتدقيق الداخلي 
يمكن أن يلعبا دورا كبيرا في متابعة مدى الامتثال. 


مؤشرات الأداء: 

ينبغي على الإدارة ربط مجموعات البيانات التشغيلية والمالية بعضها ببعض واتخاذ 
اجات المعليلية أو ال نقسائية أو التسبميسية للناسية: ففخن هذه العملية قاطا 
رقابياً هاما للمؤسسة مكن أن يلبي أيضاً متطلبات إعداد التقارير المالية والتشغيلية. 


الفصل بين المهام: 

يجب تقسيم المهام أو فصلها بين مختلف الأفراد للحد من مخاطر حدوث خطأ أو 
إجراءات غير لائقة. ويعد هذا اا رادا داخليا ااا يا يلزم وجوده شرا على شاشة 
رادار كل مدير أعلى. 

ولا تمثل هذه الأنشطة الرقابية سوى عدد قليل من الأنشطة الكثيرة التي يتم مباشرتها 
ضمق السياق المعتاة للعمليات العتشفغيلية للأعمال: لكنها تتضمن السياسات التى تؤسيس 
لاسب القيام ده والإجرلداك اللازمة السفيقسا: .دعاق الرهم من أن أنقظة الرفانة قد يس 
الإبلاغ بها شفوياً في بعض الأحيانء فإنه ينبغي تنفيذها بشكل مدروس وبأمانة واستمرارية, 
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وهذه رسالة قوية يلراجعة أنشطة الرقابة الداخلية تلك. وبالرغم من أن المؤسسة قد تكون 
صاحبة سياسة معلنة تغطي مجالا معيناء فإنه ينبغي أن يكون هناك إجراءات رقابة داخلية 
ثابتة لدعم هذه السياسة. وقد تكون هذه الإجراءات قليلة القيمة ما لم يكن هناك تركيز 
حاد على الحالة التي توجه إليها هذه السياسة. وف أغلب الأحيان قد تنشئ المؤسسة 
تقريراً اشناق كجزء من نظام آلي يتلقى من خلاله المستفيدون أكثر من مجرد ا 
السظحية بقليل. إلا أنه وفقا عل الحالات المبلغ عنهاء يجب أن تتلقي تلك الاستثناءات 
المبلغ عنها إجراءات متابعة ملائمة قد تتنوع تبعا لحجم المؤسسة والنشاط الوارد فى ع 
الاستثنان. 

ويجب أن تكون هذه الأنشطة الرقابية مرتبطة ارتباطا وثيقا بعضها ببعض بهدف 
تحديد المخاطر حسب عنصر تقييم ال مخاطر لإطار الرقابة الداخلية الخاص بلجنة المنظمات 
الزافية [هة66): كبا يجب على كنار المديرين ذاقنا أن يعذكروا أن الرقاية الداخلية ما 
هي إلا مجرد عملية وأن أنشطة الرقابة الملائمة يجب أن تعتمد يلعالجة المخاطر المحددة. 
ولا يلزم اعتماد أنشطة الرقابة فقط لأنها تبدو "الشيء الصحيح الذي ينبغي عمله". حتى 
إذا لم تكن هناك مخاطر كبيرة في المنطقة التي يتم فيها اعتماد النشاط الرقابي. وفي 
بعض الأحيان؛ قد يتمد أنقظلة رقانية تكون رما عالجت ذات مرة بعض مخاوف مخاطر 
الرقابةء على الرغم من أن هذه المخاوف قد تلاشت إلى حد كبير. ولا ينبغي تجاهل 
نشاط الرقابة لمجرد عدم وقوع أي مخالفة رقابية سابقة: لكن الرقابة تحتاج وبشكل 
دوري إلى إعادة تقييم للمخاطر النسبية المرتبطة بها. وينبغي أن تسهم جميع أنشطة 
الرقابة الداخلية في الهيكل الرقابي بشكل عام. كما يجب على مدققي تقنية المعلومات أن 
يضعوا هذا المفهوم في الاعتبار عند قيامهم بمراجعة الرقابة الداخلية وتقديم التوصيات. 
ويؤكد إطار الرقابة الداخلية الخاص بلجنة المنظمات الراعية )C050(‏ على أن إجراءات 
الرقابة ضرورية لجميع نظم تقنية المعلومات الهامة: المالية والتشغيلية والمرتبطة بالامتثال. 
وتقسم نظم الرقابة الداخلية (©0050©) ضوابط نظم المعلومات إلى ضوابط عامة وضوابط 
تطبيقات معترف بها.. وتنظبق الضوايظ العامة على الكثير من إدازات نظم المعلوماث 
للمساعدة في التأكد من توافر إجراءات رقابية كافية على جميع التطبيقات. فقفل الأمان 
المادي المثبت على باب مركز خوادم تقنية المعلومات يعتبر مثالا على الرقابة العامة لجميع 
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التطبيقات التي تعمل داخل المرفق. وتتم مناقشة الضوابط العامة على تقنية المعلومات 
في الفضل السادس. كما أن ضوابط التطبيقات التي تتم مناقشتها في الفصل العاشر من 
هذا الكتاب تمثل أيضا مجالات رقابة مهمة على تقنية المعلومات لتقييم مدى كفاية نظم 
الرقابة الداخلية بأكملها. وتختتم وثيقة إطار الرقابة الداخلية (20050) بإجراء مناقشة 
حول ضرورة النظر في تأثير التقنيات المتطورة التي يجب أخذ تأثيرها في الحسبان دائما عند 
تقييم أنشطة رقابة تقنية اللعلومات. ونظرا لسرعة إدخال تقنيات جديدة فما هو جديد 
اليوم سرعان ما يحل محله شيء اخر. 


الاتصالات والمعلومات: 

يصف إطار الرقابة الداخلية (2050) في الشكل التوضيحي (1-6) معظم المكونات في 
شكل طبقات» واحدة فوق الأخرى؛ نيعا من بيئة الرقابة باعتبارها الأساس. وهناك فة 
أخرى يُنظر من خلالها للإطار وهي أن تتصور إطار الرقابة الداخلية (0050) على أنها 
نموذج هرمي لا تمثل فيه مكونات المعلومات والاتصالات طبقة أفقية: بل عنصرا جانبيا 
مغد غبر ايلكونات الأشرى.. وترقظ الاتضالات والتعلومات حعضها يعض نظرا لكونها أجزاء 
مهمة في إطار الرقابة الداخليةء إلا أنه ما بمثلان في ذات الوقت مكونات رقابية داخلية 
يتميز بعضها عن بعض. كما يجب نقل ال معلومات المدعومة من نظم تقنية المعلومات إلى 
أعلى المؤسسة وأسفلها بأسلوب وإطار زمني يسمح للأشخاص بتنفيذ المهام الموكلة إليهم. 
وبالإضافة إلى أنظمة الاتصالات الرسمية وغير الرسمية: يجب أن يكون لدى المؤسسات 
إجراءات فعالة تعمل على تنفيذها للتواصل مع الأطراف الداخلية والخارجية. وكجزء من 
ي تقييم للرقابة الداخلية يلزم فهم تدفقات المعلومات والاتصالات والعمليات المرتبطة بها 
داخل المؤسسة. (انظر الشكل التوضيحي 7-6). 
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شكل توضيحي (68-؟) 


المكونات الأساسية لإطار الرقابة الداخلية 6050© 





ظ الضوابط الداخلية 








. الضوابط الداخلبة‎ ٠ 
الضوابط الداخلية‎ 
4 للتفارير المالية‎ 





وتحتاج المؤسسة إلى معلومات على جميع المستويات لتحقيق أهدافها التشغيلية والمالية 
والأهداف المرتبطة بمدى الامتثال. فعلى سبيل المثال. تحتاج ا مؤسسة إلى معلومات لإعداد 
التقارير ال مالية لتقدممها للمستثمرين الخارجيين. فضلا عن التكلفة الداخلية ومعلومات 
عن تفضيلات السوق الخارجية لاتخاذ قرارات تسويقية صحيحة. ويلزم أن تتدفق هذه 
المعلومات من المستويات العليا للمؤسسة إلى المستويات الدنيا وكذلك من المستويات الدنيا 
إلى المستويات العليا عائدة. وتتخذ الرقابة الداخلية (0050) نهجاً واسعا لمفهوم نظام 
المعلومات مع الاعتراف بآن هذه الأنظمة مكن أن تكون يدوية: آليةء أو حتى مفاهيمية. 
كما أن آيامن نظ المعلومات هذه كن أن تكون رسمية أو خن ورسم كنا آن المعادفات 
المنتتظمة مع العملاء أو الموردين يمكن أن تكون مصادر معلومات مهمة جداً وتعتير نوعا 


11۸ دليل المسئول التنفيذي لحوكمة تقنية المعلومات 


حوكمة تقنية المعلومات ونظم الرقابة الداخلية طبقاً للجنة المنظمات الراعية (كوسو- 0050©) 


غير رسمي من نظم المعلومات. ويتعين على المؤسسة الفعالة أن تحتفظ بنظم معلومات 
تستخدمها للاستماع إلى طلبات العملاء أو الشكاوى وإحالة تلك المعلومات التي يبديها 
العميل إلى الموظفين المناسبين. 

كما تؤكد الرقابة الداخلية (0050) أهمية الاحتفاظ بالمعلومات ونظم الدعم ها يتفق 
مع احتياجات المؤسسة بأكلمها. وتتكيف نظم المعلومات لدعم التغييرات في مستويات 
كر ققق دقنية اتعلوفات غلل سيل اال وواحهون كثيراً الات تكون قد نيدت 
تنفيذ تطبيق تقنية معلومات منذ سنوات لدعم احتياجات مختلفة. وعلى الرغم من 
إمكانية وجود ضوابط رقابية جيدة للنظام: فإن هذا النظام قد لا يدعم الاحتياجات الحالية 
للمؤسسة. وتتبنى نظم الرقابة الداخلية (0050) رؤية شاملة لأنواع تلك النظم: كما 
تشير إلى الحاجة إلى فهم كل من العمليات اليدوية والتقنيات الآلية. 


المتابعة: 

تعرض النظرة الهرمية للرقابة الداخلية (0050) الموضحة بالشكل التوضيحي )١-6(‏ 
عنصر المتابعة بوصفه المستوى الأعلى والمتطور لعناصر الرقابة الداخلية (0050). وفي حين 
أن نظم الرقابة الداخلية ستعمل بفاعلية مدعومة بشكل مناسب من الإدارة والإجراءات 
الرقابية وارتباطات المعلومات والاتصالات؛ لابد من إجراء عمليات للتابعة تلك الأنشطة. 
كانت المتابعة ولمدة طويلة هي الدور الذي تقوم به تقنية المعلومات وغيرها من المدققين 
الداخليين ممن يقومون بالمراجعات لتقييم مدى الامتثال مع الإجراءات الموضوعة: لكن 
ومع ذلك تتخذ نظم الرقابة الداخلية (0050) الآن رؤية أوسع للمتابعة أيضاء كما تعترف 
بأن إجراءات الرقابة وغيرها من النظم تتغير بمرور الوقت. فما ظهر أنه فعال عند بداية 
تثبيته قد لا يكون فعالاً في المستقبل نظراً للظروف المتغيرة والإجراءات الجديدة أو غيرها 
من العوامل. وقد تحتاج المنشأة إلى وضع مجموعة متنوعة من أنشطة المتابعة لقياس 
مدى فاعلية نظم الرقابة الداخلية لديها من خلال عمليات تقييم منفصلة إلى جانب القيام 
بأنشطة مستمرة لراقية الأداء واتخاذ إجراءات تصحيحية عند الحاجة. فالعديد من إدارات 
الأعمال الروتينية يمكن تصنيفها على أنها أنشطة متابعة. وتعطي (0050) أمثلة على هذا 
المكون المهم من مكونات الرقابة الداخلية: 
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الوظائف الاعتيادية لإدارة التشغيل: 

تعد المراجعات الاعتيادية التي تجريها الإدارة لعمليات التشغيل والتقارير المالية أحد 
أنشطة المتابعة المستمرة الهامة» ولكن ينبغي أن ثولي اهتماماً خاصا بالاستثناءات المرصودة 
تخر قات الرقابة الداهلة: وما هعرز اترقانة الداهلية مراححة التقازي فة معظمة 


واتخاذ إجراءات تصحيحية لأي استثناءات مرصودة. 


اتصالات من أطراف خارجية: 

تعتبر وسائل مراقبة الاتصالات الخارجية مثل رقم هاتف شكاوى العملاء من الأمور 
المهمة. كما تحتاج المؤسسة أن تتابع تلك المكالمات عن كثب وتنفذ الإجراءات التصحيحية 
بناء على هذه المكاطمات كلما دعت الحاجة لذلك. 


البنية المؤسسية والأنشطة الرقابية: 

على الإدارة العليا ذائما القيام مراجعة تقارير موجزة واتخاذ إجراءات تصحيحية بشأنهاء 
ويلعب والمستوى الرقابي الأول في الغالب دوراً أكثر أهمية في عملية المتابعة. كما أن الرقابة 
المباشرة للأنشطة الكتابيةء على سبيل اممثال» ينبغي أن تراجع بشكل روتيني أخطاء المستوى 
الى وتمححمه كنا رصن علا أن تضمن تعس أذاء الوظفين الكة: .وعقل هذا أيشنا 
أحد المجالات التي يكون من الأهمية بمكان القيام بفصل كاف بين المهام: كما أن تقسيم المهام 
بين الموظفين يسمح لهم بالقيام بدور متابعة بعضهم لبعض. 


الجرد المادي وتسوية الأصول: 

إن عمليات الجرد المادي الدوريء سواء لمخزون المستودعات أم الأوراق امالية القابلة 
للتداول أو أصول تقنية المعلومات» تعد من بين أنشطة المتابعة المهمة. فالجرد السنوى في 
متجر بيع تجزئة مثلا فايس إل هقد كيو ق البشاعة :وقد يكين ما اشاب دة 
لهذا الفقد هو شبهة سرقة؛ مما يشير إلى ضرورة وجود نظم رقابة أمنية أفضل. 

وليست هذه سوى أمثلة قليلة من أنشطة المتابعة لنظم الرقابة الداخلية (0050) التي 
تعتبر أشكالا من الإجراءات التي ينبغي تنفيذها في العديد من المؤسسات. لكنها في كثير من 
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الأحيان لا يُنظر إليها على أنها أنشطة متابعة مستمرة. فأي إدارة أو عملية تقوم راجعة أنشطة 
المؤسسة بصفة مستمرة, ثم تقترح إجراءات تصحيحية محتملة يجب النظر إليها باعتبارها 
نشاط متابعة. وفي حين يشير إطار الرقابة الداخلية )C050(‏ إلى أهمية أنشطة المتابعة هذه 
قكه قم أشنا إل آنه قد يكون من المفيد إلقاء نظرة جديدة من وقت لآخر على فاعلية 
نظم الرقابة الداخلية من خلال القيام بتقييمات منفصلة". وتعتمد وتيرة تلك التقييمات أو 
المراجعات المنفصلة وطبيعتها بشكل كبير على طبيعة المؤسسة وأهمية المخاطر التي يجب 
مراقبتها. 

وحين ترغب الإدارة في بدء إجراء تقييم دوري لنظم الرقابة الداخلية لديها بكاملهاء ففي 
الغالب يجب أن تبدأ بتقييم مجالات رقابية محددة. ويبدأً إجراء هذه المراجعات غالبا عندما 
تكون هناك عملية استحواذ أو تغيير في قطاع العمل أو في بعض الأنشطة المهمة الأخرى. 

وتؤكد (0050) أيضا أنه مكن إجراء هذه التقييمات من قبل الإدارة التنفيذية المباشرة 
من خلال إسراء مراجحات تقنيم ذاق. .ومع دلق يجب عان الإدازة للسؤولة ف هذا المجال 
أن تتابع جدولة هذه التقييمات الذاتية وإجراءها بصفة مستمرة. إن هذا النوع من 
المراجعة المتولدة داخليا هكن أن يشير إلى مشاكل رقابية محتملة ويتسبب في أن تقوم إدارة 
التشغيل بتنفيذ الأنشطة المتعلقة بالإجراءات التصحيحية. ولأن مراجعات التقييم الذاقي 
تلك لن تكون شاملة مثل التدقيق الداخلي النمطيء فيجب البدء في مراجعات المتابعة إذا 
تصادف وجود مشاكل كبيرة محتملة. وذلك من خلال القيام بمراجعات تقييم ذاتي محدودة. 


عملية تقييم الرقابة الداخلية: 

تلخص المواد الإرشادية للرقابة الداخلية (0050) عملية تقييم مراجعة نظم الرقابة 
الداخلية. فينبغي لمثل هذا امقيّم أولا أن ينمي لديه فهم تصميم النظام» ثم يقوم باختبار 
نظم الرقابة الأساسية» ثم يضع استنتاجات بناءً على نتائج الاختبار. كما تشير نظم الرقابة 
الداخلية (2050) إلى المقارنة المرجعية: على أنها نهج بديل. وتعرف المقارنة المرجعية 
بأنها عملية مقارنة عمليات المؤسسة وإجراءات الرقابة لديها مع مثيلاتها في نظائرها 
من المؤسسات الأخرى. فيتم إجراء المقارنات مع مؤسسات مماثلة أو مع ما يقابلها من 
إعضاءات الضناعة المتشورة. ويكون هذا التهج متاسبا لبعض الإجراءاث وممتلثا بالمخاطر 
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للبعض الآخر. فمثلا يكون من السهل نسبياً أن تقيس حجم التوظيف ومستوياته ومتوسط 
التعويضات لوظيفة المبيعات مع ما يقابلها من المؤسسات اللممائلة في الصناعة العامة 
نفسها. ومع ذلك فإن المقَيّم قد يواجه صعوبات في محاولته مقارنة عوامل أخرى بسبب 
العديد من الاختلافات الصغيرة التي تجعل جميع المؤسسات فريدة من نوعها. 


خطط عمل التقييم: 

تقر نظم الرقابة الداخلية (0050) بأن العديد من الإجراءات الفعالة للغاية تكون 
غير رسمية وغير موثقة. كما أن العديد من نظم الرقابة غير الموثقة هذه يمكن اختبارها 
وتقييمها بالأسلوب نفسه المتبع في اختبار النظم الموثقة وتقييمها. وحيث إن وجود مستوى 
مناسب من التوثيق يجعل أي تقييم لنظم الرقابة الداخلية أكثر كفاءة ويسهل فهم الموظفين 
لكيفية إجراء العمليات» فإن هذا التوثيق لا يكون ضروريا بصورة مستمرة. فأي مراجعة 
لأنظمة الرقابة المالية الداخلية في المئؤسسة سيبحث بالتأكيد عن مستوى معين من توثيق 
النظم كجزء من أعمال ال مراجعة. فإذا وجدت عملية حالية غير رسمية وغير موثقة لكن 
فاعليتها محل توافق» فإن فريق ال مراجعة المعين سيكون بحاجة إلى إعداد توثيق إجراءات 
التقييم بهدف شرح كيفية تنفيذ هذه العملية وطبيعة نظم الرقابة الداخلية لديها. 


الإبلاغ عن أوجه القصور في الرقابة الداخلية: 

سواء تم تحديد أوجه قصور الرقابة الداخلية من خلال العمليات الموجودة في نظام 
الرقابة الداخلية ذاته أو من خلال أنشطة المتابعة أو الأحداث الخارجية الأخرىء فإنه يلزم 
تبليغها إلى المستويات المختصة في إدارة المؤسسة. 

والسؤال الرئيسي الذي يطرحه أي مُقَيُم نظم رقابة داخلية هو تحديد ما ينبغي الإبلاغ 
عنه في ضوء الكم الهائل من التفاصيل التي يمكن أن تواجهه» ولمن يجب أن توجه هذه 
التقارير. وتنص نظم الرقابة الداخلية (050©) على أنء "جميع أوجه القصور في نظم 
الرقابة الداخلية التي يمكن أن تؤثر في تحقيق المنشأة لأهدافها يجب الإبلاغ عنها لأولئك 
الذين يمكنهم اتخاذ الإجراءات اللازمة". ورغم أن هذا البيان الصادر من نظم الرقابة 
الداخلية (0050) يوحي بداية بأن الأمرّ معقولء فإن كبار المديرين من ذوي الخبرة 
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يدركون أنه يكون من الصعب تطبيقه غالبا. إن المؤسسات الحديثة» بغض النظر عن 
تنظيمها الجيد. ستكون مدانة بسبب ارتكابها للعديد من الأخطاء أو الإهمال في نظم 
الرقابة الداخلية. وتشير نظم الرقابة الداخلية )C050(‏ إلى أن كل هذه الأمور ينبغي 
تحديدها والإبلاغ عنهاء حتى ما يبدو أنه أخطاءٌ صغيرة يجب فحصه لفهم ما إذا كانت 
ناجمة عن أي قصور في الرقابة بكاملها. 

وتستخدم المواد الإرشادية المنشورة من قبل نظم الرقابة الداخلية (0050) مثال 
الموظف الذي اسعول عان بضعة دولارات من صندوق المصروفات النغرية: حيث مكن 
اعتبار ذلك مسألة بسيظة نظرا لصغر المبلغ المسروق. لكن يكون من الضروري اعتبارة 
انهيارا لنظم الرقابة على عدة مستويات. 

ففي حين أن المبلغ النقدي قد لا يكون كبيراء فإن نظم الرقابة الداخلية (©6050) 
تحث على أنه يجب فحص هذه المسألة بدلا من تجاهلهاء لأن "هذا التغاضي الواضح عن 
الاستخدام الشخصي طال المنشأة قد يرسل رسالة غير مقصودة للموظفين". فقبل ظهور 
قوانين ساربينز- أوكسلي (×50). طبق المدققون الخارجيون بانتظام مفهوم ما كان يسمى 
"الأهمية النسبية" عند القيام بإجراء المراجعات وقرروا أن بعض الأخطاء والمخالفات كانت 
صغيرة لدرجة أنها غير جوهرية بالنسبة للاستنتاجات الكلية للمدقق الخارجي. 

وفي السنوات الأولى من مراجعات امتثال قوانين ساربينز- أوكسلي (×50) مع معايير 
التدقيق 452 الأصلية. كانت رسالة العديد من المدققين الخارجيين تفيد أن الأهمية النسبية 
لا تؤخذ بعين الاعتبارء فالخطاً هو الخطأ.ء وقد تسبب هذا النهج في الشعور بالإحباط لدى 
العديد من المديرين الذين تعجبوا من قيام مدققيهم الخارجيين بإثارة قضايا كانوا يرونها 
قضايا بسيطة: آما الآن ومع قوانين ساربينز- أوكسلي (×50) الحالية التي ناقشناها في 
الفصل الثاني من هذا الكتاب» فقد وضعت الأهمية النسبية والمخاطر النسبية في الاعتبار 
عند تقييم كفاءة نظم الرقابة الداخلية وفاعليتها. 

وتختتم الإرشادات الصادرة عن نظم الرقابة الداخلية (0050) بالنقاش حول من 
ينبغي توجيه تقرير أوجه قصور نظم الرقابة الداخلية إليه في المؤسسة. وتنص الفقرة الأولى 
منه على توجيه يفيد في التقييمات: 
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"إن الآثار الناتجة عن أوجه قصور نظم الرقابة الداخلية يجب الإبلاغ عنها ليس 
للشخص المسئول عن الإدارة أو النشاط ا معني الذي يمكنه بحكم منصيك اتخاذ الإجراءات 
التصحيحية فحسب» لكن يجب الإبلاغ عنها في الوقت نفسه لمستوى واحد على الأقل من 
فستونات الإذارة الأعلى من الشحض المسئؤل بشكل شاشر . فهذة الحفلية كن ذلك الفرد 
من تقديم الدعم اللازم أو الإشراف على اتخاذ الإجراءات التصحيحية وعلى التواصل مع 
الآخرين في المؤسسة الذين قد تتأثر أنشطتهم. وحيث إن هذه الآثار قد تتخطى الحدود 
التنظيمية: فإن الإبلاغ عنها كذلك يجب أن يُنقل إلى مستوى أعلى بالدرجة الكافية ويوجه 
لضمان اتخاذ الإجراءات المناسبة". 

كما ينبغي على المؤسسة أيضاً أن تطور إجراءات الإبلاغ بحيث يتسنى إبلاغ المستويات 
ا مناسبة في المؤسسة بكل أوجه قصور نظم الرقابة الداخلية التي تتم مواجهتها من خلال 
مراجعة العمليات الجارية. ويعتبر إعداد التقارير الإدارية والمتابعة جانبا مهما للغاية من 
جوانب نظم الرقابة الداخلية: كما أن للتدقيق الداخلي دورا رائداً في هذه العملية من خلال 
مراجعات تدقيق تقنية المعلومات» ويجب أن نعي أيضا الحاجة إلى عمليات متابعة أخرى 
أبعاد أخرى لإطار الرقابة الداخلية (0050): 

ننسى أحيانا أن إطار الرقابة الداخلية (0050) عبارة عن نموذج ثلاث الأبعاد كما هو 
مبين بالشكل التوضيحي .)١1-6(‏ وبالإضافة إلى البعد الخاص بالواجهة الأمامية الذي يغطي 
أنشطة الرقابة: فإن البعد الخاص بالجهة اليمنى يغطي الكيانات أو الأنشطة:. في حين أن 
الجزء العلوي من مكعب الإطار يغطى جميع عناصر نظم الرقابة الداخلية: 

۲- موثوقية التقارير المالية. 

۳- الامتثال للقوانين واللوائح المعمول بها. 

كل مجال من مجالات الرقابة الذي تم مناقشته حالا - من بيئة الرقابة إلى المتابعة - 
يجب أن يؤخذ أيضا بعين الاعتبار بالنسبة للبعدين الآخرين. 
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وفيما يتعلق بالبعد الخاص بالجانب الأهن» يجب تثبيت نظم الرقابة الداخلية وتقسسمها 
عبر جميع الوحدات في المؤسسة. ولا يعني هذا أن تشاطا زقانيا ها كعطلة أععماد اللخ وقات 
تكلا بصب أن :ون ا في جميع وحدات المنظمة» سواء في المقر الرئيسي للمؤسسة أم 
في مكتب مبيعات يقع في منطقة جغرافية نائية. ومع ذلك لزغ وجود مجموعة متناغمة 
من عمليات الرقابة عبر المؤسسة بأكملها مع مراعاة الاعتبارات المخصصة للتعامل مع 
المخاطر النسبية ونطاقات عمليات التشغيل. كما ينبغي أن تكون نظم الرقابة الداخلية 
متوافقة غير أنه يتم تطبيقها بشكل مناسب في وحدات التشغيل الفردية. 

وبالنسة للبعد الثالث أو العلوي من إطار نظم الرقابة الداخلية (6050).: فإنه ثل 
أهمية أكبر. حيث يفيد بأنه يجب وضع أنشطة الرقابة الداخلية في جميع وحدات تشغيل 
ا لمؤسسة مع الأخذ في الاعتبار عوامل الرقابة الداخلية الثلاثة: الفاعلية وموثوقية التقارير 
المالية والامتثال التنظيمي. وعند النظر إلى نظم الرقابة الداخلية من هذا المنظور الثلائي 
الأبعاد. ستظهر دائما بعض الاختلافات» لكنها ستكون تحت إطار رقابة داخلية أساسي 
ومتسق. فعند استخدام مثال الشركة التابعة في آسيا الوسطى بعيدا عن المقر الرئيسي في 
الولايات المتحدة. قد تخضع إجراءات اعتماد مصروفات الدولة للقوانين ال محليةء كما أن 
غيرها من العمليات قد تكون مختلفة بعض الشيء نظرا لبعد الاتصالات أو الاختلافات في 
نظم تقنية المعلومات المحلية. ومع ذلك يظل من الضروري تنفيذ نظم الرقابة الداخلية 
تلك على نحو يضمن موثوقية إعداد التقارير اطالية إلى جانب إحالة النتائج إلى المقر 
الرئيسي للمؤسسة. 

ومن بين المفاهيم المهمة والمعتبرة للغاية التي تدعم نظم الرقابة الداخلية (050)) 
أن جفيع الاعتبارات الخاصة بالرقابة الذاغلية يتعين النظر إليها طيقا لكب (6690) 
ثلائي الأبعاد. معنى أن الرقابة يجب أن تؤخذ في الاعتبار من ناحية توافقها مع المؤسسة 
بأكملها وعلاقتها بمجالات أهداف الرقابة الثلاثة التي تمت مناقشتها حالا. ويقدم هذا 
المفهوم وسيلة فعالة للنظر في نظم الرقابة الداخلية من منظور شمولي. ويظل إطار الرقابة 
الذاغلية (080©) مكل مارا مهما ومجموغة عن لواد الإزقادية ثقياس الرقابة الذاخلية 
وتشييميا. 


دلبل المسئول التنفيذي لحوكمة تقنية المعلومات 0 


الفصل الرابع 


لقد أصبح إطار الرقابة الداخلية (0050) المعيار المعتمد في جميع أنحاء العاط لبناء 
رقابة داخلية فعالة وتطويرها. إنها عملية مستمرةٌ في كل من أبعاده الثلاثة. فعنصر 
المغابعة:اللوجود أغان الجؤة الأمامية من التموذج لن تكون له قيمةاقذكر ما نم قعل 
عمليات الرقابة الداخلية جميعها حتى نصل بها إلى أساس بيئة الرقابة الداخلية. وعلى 
نحو مماثل» يجب وضع رقابة داخلية فعالة في جميع مستويات وحدات ال منظمة: ويلزم أن 
تراعي نظم الرقابة هذه عناصر الرقابة الداخلية الثلاثة الموجودة أعلى النموذج. 


إرشادات متابعة أنظمة الرقابة الداخلية (6050): 

لقد أصحت الواد الإرشادية واسعة الانتشار عن إطار الرقابة الداخلية (0050) متاحة 
من خلال مصادر تتراوح بین معايير تدقيق (410724) إلى مختلف مواد (1540.4) بالإضافة 
إلى موادنا الإرشادية الإضافية”. ومع ذلك فإن العديد من المؤسسات وليس بالضرورة 
محترفي التدقيق قد ترغب في الحصول على إرشادات أكثر تحديداً عن كيفية تنفيذ نظم 
الرقابة الداخلية (0050) في العمليات التشغيلية لأعمالها. وقد نشرت C080‏ مجموعة 
مواد إرشادية مكونة من ثلاثة مجلدات عن نظم الرقابة الداخلية في عام ۹١٠٠م"‏ . 


وتوكد المجلدات الثلاثة لهذه المجموعة الممتازة بوجه عام أهمية متابعة فاعلية النظم 
الرقابية الموضوعة. وعلى الرغم من وصفنا لإطار الرقابة الداخلية (0050) كما هو مبين 
بالشكل التوضيحي )١-6(‏ يُظهر أن المتابعة تعد رأس العملية بكاملهاء فإن هذه الدراسة 
الخاصة ب ©050© تشير إلى أن بعض المؤسسات لم تستغل بالشكل الأمثل نتائج أنشطة 
متابعتها للخروج باستنتاجات عن فاعلية عمليات الرقابة الداخلية لديهاء مما أدى في بعض 
الأحيان إلى إجراء عمليات غير فعالة تنقصها الكفاءة. 

هذه الإرشادات المتعلقة بأنظمة المتابعة الداخلية توحي بأن المؤسسات تنفذ عمليات 
المتابعة الخاصة بالرقابة الداخلية على غرار الطريقة التي تراقب بها ال منظمات الصناعية 
الفاعلية والكفاءة المستمرة لإجراءات التصنيع لديها. وتقترح المواد بآن تقوم المؤسسات 
باعتماد عملية متابعة من أربع مراحل كما هو موضح بالشكل التوضيحي (7-6). 


1 دليل المسئول التنفيذي لحوكمة تقنية المعلومات 


حوكمة تقنية المعلومات ونظم الرقابة الداخلية طبقاً للجنة المنظمات الراعية (كوسو- 6050©) 


شكل توضيحي (6-؟) 


عملية متابعة تصميم وتنفيذ الإطار 0950© 














4 وضع وتلفيد فيذ إجراءات 
فعالة من حيث التكلفة لتقييم 
تلك المعلومات المقنعة. 


1 . فهم وتحديد لات 














قصيد اتويات كيين 
كان نظام الرقابة الداخلية يعمل ا 
بشكل فعال. 


2. تحديد الضوابط الرئيسية 
DEE EY‏ وي 





ينص هذا النهج ذو المراحل الأربع أنه ينبغي على المؤسسة أولا أن تقوم بتحديد 
الأولويات وفهم المخاطر التي تتعرض لها أهدافها التنظيمية؛ ثم تحدد النظم الرقابية التي 
تعالج تلك المخاطر ذات الأولوية. ثم تآ الخطوة الثالثة وهي تحديد المعلومات التي 
من شأنها أن تشير بشكل مقنع إلى أن نظام الرقابة الداخلية يعمل بشكل فعال. ويدعو 
النموذج المقترح إلى القيام بإجراءات مجدية التكلفة لتقييم المعلومات التي تم جمعها من 
خلال عمليات المتابعة. 


دليل المسئول التنفيذي لحوكمة تقنية ا معلومات 1۳۷ 


الفصل الرابع 


تتمة: أهمية الرقابة الداخلية (080عC):‏ 
يقدم هذا الفصل إطار الرقابة الداخلية (0050) بالغ الأهمية. فمديرو الإدارة العليا 
يعملون في بيئات مؤسسية متنوعة» واليوم سيواجهون في الغالب متطلبات إطار الرقابة 
الداخلية (2050)). وعلى الرغم من تقديم هذا الفصل لمجرد وصف موجز للرقابة 
الداخلية (0500)).: فإن المديرين التنفيذيين سيواجهون هذه القضايا عندما يقوم الل مدققون 
الخارجيون لديهم بمراجعة نظم الرقابة الداخلية باعتبار ذلك جزءا من التدقيق ال مالي وكذلك 
عندما يقوم مدققوهم الداخليون مراجعة نظم الرقابة الداخلية في مجموعة متنوعة من 
المجالات. 
كما يقدم إطار الرقابة الداغلية (©605) أساسا لفهم مدى واسع من قضايا حوكمة 
تقنية المعلومات التي تناقش في فصول أخرى لاحقا. ومن ثم فإن كبار المديرين يتعين 
عليهم تكوين معرفة عامة وفهم لإطار الرقابة الداخلية (©005) أساسا لفهم نظم الرقابة 
الداخلية للمؤسسة وكذا المسائل المتعلقة بحوكمة تقنية المعلومات. 
ملاحظات: 
.١‏ بيان معايير التدقيق رقم ١ء‏ تقنين معايير وإجراءات التدقيق. [٤۴۸‏ المعايير المهنية. 
". تقرير اللجنة الوطنية حول التقارير المالبة الاحتبالية (011 01131111551011) National‏ 
.(Fraudulent Financial Reporting, 7‏ 
۴. الرقابة الداخلية - إطار متكامل. هذا ال مرجع خاص بتقرير الضوابط الداخلية الصادرة 
عن 0050 والذي يمكن طلبه من خلال المعهد الأمريكي للمحاسبين القانونيين 81024 
على الموقع 1 .WWW.CP42biZ.00‏ 
.٤‏ تم وصف معايير الرقابة الداخلية الخاصة بلجنة المنظمات الراعية 0050 في بيانات 
معايير التدقيق (5455) أرقام. 103, 105: 106» 107» 109: 110: 112. 
0. انظر " Robert Moeller, Sarbanes-Oxley Internal Controls: Effective Auditing‏ 
„(with AS5, CobiT, and ITIL (Hoboken, NJ: John Wiley & Sons, 2008‏ 
Guidance on Monitoring Internal Control Systems (COSO, 2009) .1‏ 


۱۲۸ دليل المسئول التنفيذي لحوكمة تقنية المعلومات 


الفصل الخامس 
إطار كوبت (01811)) ومعهد حوكمة تقنية المعلومات 


يحتاج المهنيون المحترفون في المؤسسة وخصوصاً كبار المديرين أيضاً إلى استخدام 
مجموعة من المعايير أو أطر العمل لضبط كل من الممارسات المتغلقة بحوكمة تقنية 
المعلومات والإجراءات العامة الخاصة بالرقابة الداخلية. فالالتزام بإطار كهذا سيتيح فرصة 
اعتماد كبار المديرين وكذلك المهنيين داخل المؤسسة كل في مجال عمله بوصفهم أخصائيين 
في مجالات أعمالهم. وقد أصبح إطار الرقابة الداخلية الخاص بلجنة المنظمات الراعية 
(0050©) الذي تم عرضه ومناقشته في الفصل الرابع من هذا الكتاب من الأدوات الهامة 
في مجال حوكمة تقنية المعلومات والذي ييستخدم لتقييم وتحسين عمليات حوكمة تقنية 
المعلومات المتعلقة بالعديد من النظم والعمليات الخاصة بتقنية المعلومات» ويستخدم أيضا 
لتقييم وتحسين قواعد الرقابة المحاسبية الداخلية وفقا لقانون ساربينز - أوكسلي (50:7), 
الذي تطرقنا إليه في الفصل الثاني من هذا الكتاب. وعلى الرغم من ذلكء فقد أعرب بعض 
كبار المديرين والمهنيين ممن يعملون معهم في مجال تقنية ا معلومات على وجه الخصوص 
عن مخاوفهم من استخدام إطار الرقابة الداخلية (0050) في ظل عانا اليوم ا متجه نحو 
تقنية المعلومات. وقد جاء هذا القلق بسبب عدم تركيز الإرشادات المنشورة والخاصة 
بإطار الرقابة الداخلية (050ع) على أدوات وعمليات تقنية المعلومات بشكل كاف. فعلى 
سبيل المثال» تطرقت ام لواد الإرشادية الأصلية الخاصة بإطار الرقابة الداخلية (COSO)‏ 
والتي تم نشرها عام 1197م (انظر الفصل الرابع) في الأساس إلى الضوابط الداخلية الخاصة 
بتطبيقات تقنية المعلومات على مستوى عالء مع أن هناك حاجة لمزيد من الإرشادات 
المتعلقة بالرقابة الداخلية لتقنية المعلومات في الوقت الراهن. 

إن الإطار الأكثر توجها نحو تقييم الرقابة الداخلية لتقنية المعلومات والإرشادات المتعلقة 
بهايطلق عليه اسم إطار كوبت Control Objectives for Information and related‏ 
CBT‏ ogyاechno"‏ (أهداف ضوابط المعلومات والتقنيات ذات الصلة)ء وهو الإطار 
المعمول به في الواقع قبل سن قانون ساربينز أوكسلي («50) بوقت طويل» وذلك من خلال 


دليل المسئول التنفيذي لحوكمة تقنية المعلومات ۲۹ 


الإصدار الأول له عام .۱۹۹١‏ وقد تم تطوير الإطار كوبت بداية لدعم المدققين الداخليين 
والخارجيين الذين يقومون بعمليات مراجعة النظم الحاسوبية والضوابط التقنية (يطلق عليهم 
غالبا اسم مدققي تقنية المعلومات 2010160155 '11). لکن كوبت أصبح هذه الأيام هو الأداة 
المفضلة بالنسبة للعديد من المؤسسات لتحقيق الإمتثال للبند 606 من قانون ×50 الذي 
يتحدث عن إجراءات الرقابة الداخلية ودعم حوكمة تقنية المعلومات المتعلقة بها. فالإطار 
كوبت يقدم الإرشادات اللازمة لتقييم وفهم الضوابط الداخلية لتقنية المعلومات المؤسسية 
فیک عاق موازة ف وات لدع اة لمك اعبار الطار كوت نديلاً عن إطاز 
الرقابة الداخلية ©0050): غير أنه عبارة عن طريقة مختلفة ومفضلة في بعض الأحيان للقيام 
باختبار ضوابط الرقابة الداخلية في ظل عامنا اليوم المتمركز حول تقنية المعلومات. 


وعلى الرغم من إطلاق "كوبت" بالأساس ليعمل كدليل توجيهي يساعد مدققي تقنية 
المعلومات الداخليين والخارجيين الذين يقومون ممراجعة الضوابط الداخلية المتعلقة بتقنية 
المعلومات» فإنه تطور هذه الأيام ليصبح بمثابة الأداة المساعدة لتقيبم حوكمة تقنية 
مويب وجميع الضوابط الداخلية قي المؤوسسة. فهو يؤكد الروابط الموجودة بين موارد 
تقنبة اللعلومات وال موارد الأخرى للأعمال ويوقر ووا الداعمة لهذه الروابط وذلك 
لتقديم القيم الكاملة للمؤسسة: كما يعد هذا الإطار واجدا من الأدوات الهامة المساعدة 
السلطة التنفيذية العليا في المؤسسة على إيجاد ممارسات فعالة لحوكمة تقنية ا معلومات. 


سيقدم هذا الفصل نظرة عامة على المستوى التنفيذي للإطار كوبت والعديد من 
کا الا وه تعيض آنا ادا النقاسن بالف اوا الاو سق وک 
نشر هذا الكتاب. كما سيقوم بتقديم عناصر آخرى للإطار كوبت مثل الإرشادات الخاصة 
يحوكفة مجلس الإذازة والإطار القاص فة فة المطلومات ۷81-117 ا قط بالإظار 
كوبت» وهو نهج يستخدم للتعرف على القيمة الخاصة بجميع أصول تقنية الملعلومات 
في المؤسسة بشكل أفضل. حيث يتناول إطار قيمة تقنية المعلومات ۷41-1١‏ الافتراضات 
والتكاليف والمخاطر والنتائج المتعلقة بالمحفظة المتوازنة لاستثمارات الأعمال المدعومة 
فة اوماق كبا سيندت افا عن أهمية إطار قيمة تقنية ا معلومات '11 1121 في 
الفصل الثاني والعشرين من هذا الكتاب. وسيصف لنا هذا الفصل أيضا العلاقة الموجودة 


f‏ دلبل اللستول التنفيذي لحوكمة تقنية المعلومات 


إطار كوبت ومعهد حوكمة تقنية المعلومات 


بين أهداف الإطار كوبت وإطار الرقابة الداخلية 0050 والذي تم الحديث عنه في الفصل 


وعلى الرغم فن أن الإطار كوبت ظهر في الأصل أداة إرشادية خاصة بتدقيق تقنية 
المعلومات: فإنه أصبح في الوقت الحالي أكثر اتساعا وشمولاً. لذا ينبغي أن يكون لدى 
ا مسؤولين التنفيذين اليوم معرفة عالية ا مستوى برساله الإطار كوبت وأهدافه. كما ينبغي 
عليهم أن يكونوا في الموضع الذي مكنهم من سؤال کل من إدارة تقنية المعلومات والإدارة 
العامة لعمليات التشغيل اطالية لديهم حول استخدام المؤسسة للإطار كوبت في أنشطة 
حوكمة تقنية المعلومات. فبالإضافة إلى معرفة وفهم إطار الرقابة الداخلية 050©): فإن 
فهم الإطار كوبت سوف يساعد المدير الأول على تحقيق مستوى فهم أفضل لدور الرقابة 
وعمليات الحوكمة والمخاطر الخاصة بتقنية المعلومات في العديد من بيئات المؤسسة. 


المقدمة التنفيذية للإطار كوبت: 

إن كلمة 00817 تعد غير مألوفة أو غريبة بعض الشيء بالنسبة للعديد من الأشخاص» 
إلا أن هذا المصطلح أصبح متعارفا عليه بشكل متزايد من قبل مدققي ومحترفي تقنية 
المعلومات والعديد من مديري المؤسسات. وعلى الرغم من أن هذا الإطار يُعرف الآن اختصارا 
باسم C081١‏ فإنه في الأصل ولسنوات عديدة كان يكتب '11ا00: وفي كلتا الحالتين يشير 
هذا الاختصار إلى أهداف ضوابط ال معلومات والتقنيات ذات الصلة Control Objectives)‏ 
„(for Information and related Technology‏ فنا لتركيز هذا الإطار على كل من 
الضوابط والثقنيةء فقد تم استخدام الحروف الكبيرة (© و 1) في كتابة الحرف الأول والأخير 
من الاسم المختصر لهذا الإطار. فالإطار كوبت هو إطار للرقابة الداخلية الخاصة بحوكمة 
تقنية المعلومات وأداة دعم هامة لتوثيق وفهم ال متطلبات الخاصة ایا الداخلية 
للإطار C050‏ وقانون ساربنز أوكسلي ×50. وإدراك قيمة أصول تقنية المعلومات في 
المؤسسة والمخاطر المصاحبه لها. لذا يجب على العديد من أعضاء طاقم التدقيق الداخلي 
أن يكون لديهم على الأقل معرفة عامة أو عملية بالإطار كوبت. كما ينبغي على كبار 
المديرين في جميع أنحاء المؤسسة أن يكون لديهم معرفة عامة عن الإطار كوبت وأهميته 
بوصفة أداة لدعم حوكمة تقنية المعلومات. 


دلبل اط مسئول التنفيذي لحوكمة تقنية المعلومات 1۳1 


قام معهد حوكمة تقنية المعلومات (1161) stitu†eہ1 Governance‏ 1" والمنظمة 
المهنية الوثيقة الصلة به» وهي جمعية تدقيق وضبط نظم المعلومات (إزاكا) Information‏ 
Systems Audit and Control Association ([SACA)‏ بإصدار إطار العمل كوبت 
وا معاي ير الخاصة به والتعديل عليها على نحو منتظم. تركز جمعية إزاكا بدرجة كبيرة على 
عمليات تدقيق تقنية المعلومات» في حين ينصب تركيز معهد 1761 على عمليات البحث 
والحوكمة. كما تقوم جمعية إزاكا أيضاً بإدارة الاختبارات والتصميم المهني لشهادة مدقق 
تقنية معلومات معتمد ۲٥انdںA‏ ۲۲ 0611660 أو مدقق نظم معلومات (6154©): هذا 
إلى جانب إدارتها لشهادات أخرى مثل شهادة مدير نظم معلومات معتمد 06101560 
Systems Manager (CISM)‏ 12101111261011 وتصميم شهادة وامتحانات معتمد ف 
حوكمة تقنية المعلومات الملؤسسية Certifled in Governance of Enterprise ÎT‏ 
(661815©). وتستهدف شهادة مدير أمن معلومات معتمد (1531©) مديري أمن تقنية 
ا لمعلومات وتعزز من تطوير قدرات المهنيين المحترفين الذين يرغبون ق الاعتراف بخبراتهم 
ومعرفتهم ذات الصلة بحوكمة تقنية المعلومات. 

إن العديد من موظفي إدارة تقنية المعلومات والموظفين النظاميين في وحدة التدقيق 
الداخلي هم أيضا أعضاء في جمعية إزاكا. ولأسباب تتعلق بالتوق إلى الماضي كانت جمعية 
إزاكا تغرف في الأصل باسم جمعية مدققي نظم معالجة البيانات الإلكترونية ۴0۴ 
»Adit ors Association (EDPAA)‏ وهي مجموعة مهنية بدأت في عام /1971 من قبل 
المدققين الداخليين الذين شعروا بأن المنظمة المهنية التابعين لها والتي عرفت فيما بعد 
باسم» معهد المدققين الداخليين (114) institute of Internal Auditors‏ م تهتم الاهتمام 
الكافي بأهمية نظم تقنية ا معلومات والضوابط التقنية باعتبارها جزءا من أنشطة الرقابة 
الداخلية. وقد نسينا أن نذكر أن E2۶۴‏ كانت في يوم من الأيام ترمز إلى Electr٥۸ic ٥a4‏ 
Processing‏ أي معالجة البيانات الإلكترونية» أما اليوم فإن هذا ال مصطلح قد عفا عليه 
الزمن وهم يعد يُستخدم في مجال تقنية المعلومات» ومع مرور الوقت قامت هذه المؤسسة 
المهنية بتوسيع نشاطها وأصبحت جمعية إزاكا. 

بدأت جمعية مدققي نظم معالجة البيانات الإلكترونية E0۴۸۸‏ - والتي كانت في 
المقام الأول عبارة عن منظمة مهنية حديثة العهد بمجال تدقيق تقنية المعلومات - في تطوير 


إطار كوبت ومعهد حوكمة تقنية المعلومات 


مواد إرشادية مهنية خاصة بتدقيق تقنية المعلومات. وقد كان ذلك بعد فترة وجيزة من 
تأسيسهاء وبمجرد أن تطورت جمعية E2۴۸۸‏ إلى جمعية 154084 ثم تحولت في الوقت 
الحالي إلى معهد 1161 أصبحت المعايير الأصلية الخاصة بتدقيق تقنية المعلومات الصادرة 
عنها مجموعة ممتازة من أهداف الرقابة الداخلية والتي تطورت إلى الإطار كوبت» وهو الآن 
بنسخته الخامسة التي أصدرت عام١١70'".‏ وهذا الإصدار الجديد للإطار لم يكن قد تم 
نشره بشكل رسمي حتى وقت نشرنا لهذا الكتاب» إلا أننا نستند في حديثنا هنا إلى الإصدارات 
الخاصة با لمسودة الأخيرة لهذه النسخة على افتراض أنه سيتم قريبا إطلاقها بشكل رسمي. 
من الناحية العمليةء فإن جميع العمليات المؤسسية ترتبط اليوم بموارد تقنية ا معلومات, لذا 
فإن فهم مجال حوكمة تقنية ا معلومات بصورة شاملة أصبح أمراً في غاية الأهمية. 

ويتكون الإطار كوبت مما يطق عليه اسم المبادئ الخمسة وءاص112م ۷# وهي 
عبارة عن مجالات واسعة ومتداخلة في الحوكمة والضوابط الداخلية» كما هو مبين بالشكل 
التوضيحي .)١1-0(‏ فإن مبادئ الإطار كوبت عبارة عن خمسة مجالات رئيسية تتمحور حول 
أهمية المبدأً الأساسي لحوكمة تقنية المعلومات» وهذه المبادئ هي: 

المبدأ الأول لكوبت: إطار عمل متكامل لتقنية المعلومات: يدعو الإطار كوبت إلى بذل 
الجهود اللازمة لكي تتماشى عمليات تشغيل تقنية المعلومات وأنشطتها مع جميع عمليات 
التشغيل الأخرى في المؤسسة. وهذا يشمل إيجاد الروابط بين عمليات تشغيل الأعمال 
وخطط تقنية المعلومات في المؤسسة:» هذا بالإضافة إلى وضع عمليات لتحديد العلاقات بين 
الجودة والقيمة والمحافظة عليها والتأكد من صحتها. 

المبدا الثاني لكوبت: دوافع تحقيق القيمة لأصحاب المصلحة: يجب أن يكون هناك 
عمليات متعارف عليها لضمان تقديم وحدة تقنية المعلومات ووحدات التشغيل الأخرى في 
المئؤسسة للقيم والفوائد المرجوة من خلال الدورة الخاصة بتقديمها وباستخدام الإستراتيجية 
التي تقلص التكاليف مع التأكيد على القيم الذاتية المكتتسبة من أنشطة تقنية ا معلومات 
وغيرها من الأنشطة الخاصة با لؤسسة. 

المبدأ الثالث لكوبت: تركيز الموارد على بيئة أو سياق الأعمال: مع التركيز على تقنية 
المعلومات: يجب أن تكون هناك استثمارات مناسبةء وإدارة سليمةء للعناصر الهامة في تقنية 


دلبل المسئول التنفيذي لحوكمة تقنية المعلومات r‏ 


المعلومات من موارد وتطبيقات ومعلومات وبنى تحتية وأفراد. حيث تعتمد الحوكمة 
الفعالة لتقنية المعلومات على هذا التحسين في المعرفة والبنية التحتية. 

المبدأً الرابع لكوبت: إدارة المخاطر: ينبغي أن يكون لدى الإدارة» وعلى جميع 
المستويات» فهم واضح لمدى رغبة المؤسسة ف المخاطر أو ما يعرف ب ع]ناءم مف Risk‏ 
ومتطلبات الامتثال الخاصة بهاء وتأثير المخاطر الكببرة. فلكل من إدارة تقنية المعلومات 
وغيرها من الإدارات الأخرى مسئولياتها الخاصة والمشتركة لإدارة المخاطر التي قد تؤثر 
بشكل فردي أو جماعي على المؤسسة بأكملها. 

المبدأ الخامس لكوبت: قياس الأداء: ينبغى أن تكون هناك عمليات متعارف عليها 
ومعمول بها لمتابعة ومراقبه تنفيذ الإستراتيجية واكتمال المشروع واستخدام الموارد وأداء 
العمليات وتقديم الخدمات. كما ينبغي أن تقوم آليات حوكمة تقنية المعلومات بترجمة 
إستراتيجيات التنفيذ إلى إجراءات ومقاييس لتحقيق تلك الأهداف. 


شكل توضيحي )١-0(‏ 


مبادئ كوبت الخاصة بحوكمة تقنية المعلومات 
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هذه هي المبادئ أو مناطق التركيز الخمسة الخاصة بكوبت التي تحدد عناصره وتقدم 
تعريفا للغتاضر الأساسة لسوكمة تقدة اللعلومات: جر الإطار كوبت من الآذوات الفعالة 
لتوثيق ضوابط تقنية ا لمعلومات وجميع الضوابط الداخلية الأخرى: وينظر هذا الفصل إلى 
الإطار كوبت من منظور أشمل لاستخدامه للمساعدة في عمليات حوكمة تقنية ا لمعلومات 
الخاصة بالإدارة والمؤسسة ووحدة التدقيق الداخلي. 

تقدم الأجزاء التالية من هذا الفصل وصفا شاملا للإطار كوبت» في الصيغة النهائية 
لمسودة الإصدار الحالي وهو الإصدار الخامس» وعناصره الرئيسية التي تقوم بربط الأعمال 
مع أهداف تقنية المعلومات من خلال الضوابط الرئيسية ومعايير القياس الفعالة. إضافة 
إلى أن هذا الفصل سوف يقوم بوصف معايير كوبت مع ما يناظرها في إطار الرقابة الداخلية 
0 , والذي تمت مناقشته في الفصل الرابع من هذا الكتاب» وأفضل الممارسات الخاصة 
مكتبة البنية التحتية لتقنية المعلوماتء التي تم تقدهها في الفصل السادس من هذا الكتاب» 
والحوكمة الشاملة لتقنية المعلومات والشركات. كما سيتم مناقشة العناصر والمكونات 
الرئيسية لحوكمة تقنية المعلومات. يعد الإطار كوبت إحدى الآليات الفعالة لتوثيق وفهم 
الضوابط الداخلية وإدارة عمليات حوكمة تقنية المعلومات على جميع المستويات. وعلى 
الرغم من أن كوبت كان في البداية عبارة عن مجموعة من المواد الإرشادية الخاصة ب 
"تدقيق تقنية المعلومات" فإنه اليوم أصبح أداة أكثر قوة. 


إطار العمل كوبت والعوامل المحركة له: 

تعد عمليات تقنية المعلومات والتطبيقات البرمجية والأجهزة المادية الداعمة لها 
من المكونات الرئيسية لأي مؤسسة ف الوقت الراهن. فسواء كانت هذه المؤسسة 
من ا لمؤسسات الصغيرة التي تقوم ممارسة عمليات البيع بالتجزئة التي لها احتياجات 
بسيطة كمتابعة المخزون ودفع رواتب اللوظفين, أم كانت من اللؤسسات الكبيرة جدا 
ضمن تصنيف أفضل خمسين مؤسسة أو "50 10161126" فجميعها يحتاج إلى بجموعة 
وة مق كنات فة امات اة والعقدة اة والتي فط ارشاطا وها 
بعمليات تشغيل الأعمال المتعلقة بها. بمعنى أنه» ينبغي أن يعمل كل من عمليات 
الأعمال وموارد تقنية المعلومات الداعمة لها في المؤسسة ضمن علاقة وثيقة لتبادل 
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الفصل الخامس 


المعلومات. لا يمكن لتقنية المعلومات - وبالتأكيد لا ينبغي - أن تكشف لعمليات 
تشغيل الأعمال عن الأنواع الخاصة بعمليات ونظم تقنية المعلومات التي ينبغي عليها 
تنفيذهاء ولكنها تقوم بتوفير المعلومات التي تؤثر في قرارات تلك الأعمال. في الأيام 
الأولى لظهور نظم الحاسبات» شعر المديرون في بعض الأحيانء بأنهم يملكون العديد 
من الإجابات والحلول المطورة للنظم المتعلقة بأعمالهم» إلا أنها أحيانا كانت تأت بنتائج 
عكسية تماما. ومع ذلك. فإن هذه العلاقة قد تغيرت منذ فترة طويلة؛ فبوجه عام 
ينبغي أن تكون هناك علاقة وثيقة لتبادل المعلومات والمتطلبات المشتركة بين عمليات 
تشغيل تقنية المعلومات وعمليات تشغيل الأعمال. وينبغي على مدير المؤسسة فهم 
الاحتياجات والمتطلبات اللازمة لتبادل المعلومات بين الطرفين. فتقنية المعلومات لديها 
مسئوليات تجاة المجالات الأخرى المرتبطة بالعملية التي يتم تدقيقها من قبل أو من 
خلال إرشادات التدقيق المعتمدة, التي يتم قياسها من خلال سلسلة من القياسات 
والأنشطة الخاصة بمؤشر الأداء التي يتم تفعيلها من خلال أهداف النشاط. كل ذلك 
أصبح جزءا لا يتجزأ من كوبت الذي يعد إطارا لحوكمة وضبط تقنية المعلومات ويحدد 
أهداف أفضل الممارسات والحوكمة والرقابة الداخلية لكل عملية من عمليات تقنية 
ا معلومات والأعمال. 

فبالإضافة إلى إطار الرقابة الداخلية C050‏ ومتطلبات الضوابط الداخلية لقانون 
ساربنز أوكسلي ×50 يقدم هذا الفصل الإصدار الخامس والجديد لكوبت. وقد يتساءل 
أحد المسؤولين التنفيذيين للمؤسسة قائلا: "أعتقد أنني أفهم بعض القواعد الرئيسية لقانون 
ساربنز أوكسلي *50: وأن مؤسستي تقوم باستخدام إطار الرقابة الداخلية 0050؛ 
فلماذا يجب علي الاهتمام بهذا الثيء المسمى كوبت,. واعتماده كإطار آخر؟" إن إجابتنا 
عن هذا التساؤل هي أن كوبت يوفر نهجا بديلا بل وأحيانا مفضلا لتعريف ووصف 
العمليات التي تركز على حوكمة تقنية المعلومات بصورة أكثر من الإطار التقليدي للرقابة 
الداخلية 0050. في هذه الأيام تعتبر المعلومات والعمليات الداعمة لتقنية المعلومات 
هي بالفعل الأصول الأكثر أهمية وقيمة بالنسبة لجميع اي مؤسسات. وتقع على عاتق الإدارة 
مسؤولية كبيرة وهي الحفاظ على الأصول الداعمة لتقنية المعلومات» متضمنا ذلك النظم 
الآلية. ويحتاج المسؤول التنفيذي في المؤسسة هذه الأيام إلى فهم هذه العمليات المرتبطة 
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إطار كوبت ومعهد حوكمة تقنية ال معلومات 


با لمعلومات والضوابط الداعمة لها. وتهتم هذه التركيبة بفاعلية وكفاءة جميع الموارد 
والعمليات والمتطلبات الشاملة لأعمال تقنية المعلومات الخاصة بها. 

يقر الإطار كوبت بأن المعلومات يجب أن تكون أحد الموارد الرئيسية لجميع المؤسسات» 
حيث إن هناك اعتمادية هائلة على التقنية طبلة دورة حياة المعلومات بالكامل. حيث 
تنتشر تقنية المعلومات والتقنيات المرتبطة بها في ا مؤسسات» وهي بحاجة إلى أن تخكم 
وتدار بطريقة شموليةء مع أخذ كامل المسؤولية المتعلقة بجميع مجالات الأعمال ومهام 
تقنية المعلومات بصورة تامة (من النهاية إلى النهاية). فمن خلال التنفيذ الفعال لإرشادات 
الإطار كوبت. يجب على المؤسسة أن تحقق المزيد من: 

ه إيجاد القيمة من خلال تقنية اللعلومات الطوسسية. 

ه رضا مستخدمي الأعمال عن الأعمال والخدمات التي تقدمها تقنية ا ملعلومات. 

« الالتزام بالقوانين واللوائح والسياسات ذات العلاقة. 

وكما ذكرناء فقد استمر تطوير وتحسنن الإطار كوبت على مر السنين. وقد اعتمدنا 
في تعليقاتنا في هذا الفصل ف المقام الأول على الإصدار الخامس الجديد الذي كان في 
مسودتة النهائية أثناء القيام بتأليف هذا الكتاب. كما سنقوم أيضا بتضمين بعض ال مراجع 
التي تشر إلى الإصدار السابق للإطار كوبت - الإصدار 6,١‏ - والمعترف به على نحو جيد. 
إن النسخة الجديدة كوبت 6,٠‏ (5:0 '661817) قعد تعستا كيرا للنسفة السابقة كا 
أنها توفر دعما وإرشادات ممتازة لتحسين عمليات حوكمة تقنية المعلومات: ورغم أنه قد 
تكون هناك بعض التعديلات النهائية عندما يتم إطلاق الإصدار الخامس بشكل رسمي» 
فإن العديد من الأوصاف التي استخدمناها للإطار كوبت توحي بأنه سيتم إطلاق الإصدار 
الجديد والنهاني قريبا. واستنادا إلى مبادئ كوبت الخاصة بحوكمة تقنية ا لمعلومات 
وا موضحة في الشكل التوضيحي »)٠-١(‏ فإن الأقسام التالية سوف تقدم مستوى رفيعا 
ونظرة تنفيذية عامة لكوبتء وطاذا يعد هذا الإطار من الأدوات الهامة في حوكمة تقنية 


المعلومات. 
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المبدأ الأول لكوبت: إنشاء إطار متكامل لبنىة تقنية معلومات: 

تصف البنية المعمارية كيف نقوم ببناء المقر الرئيسي الخاص مكتبنا أو النمط ا لمستخدم 
في بنائه» إلا أنها هذه الأيام تستخدم غالبا للإشارة أيضا إلى الاختيارات التقنية لبنية تقنية 
المعلومات في المؤسسة. فعلى سبيل المثال» عندما تحولت إدارت تقنية المعلومات من نظم 
الحاسبات المركزية القديمة التي كانت موجودة منذ عدة سنوات إلى الشبكات التي تحتوي 
على خوادم أصغر حجماء فقد أعلنت إدارة تقنية المعلومات في المؤسسة بأنها اعتمدت 
وطبقت البنية التي تدعى "العميل - الخادم". وتستخدم إدارات تقنية المعلومات مصطلح 
بنية أو معمارية النظم لتشير إلى الشكل العام للأجهزة المادية أو البرمجيات الخاصة بموارد 
تقنية المعلومات لديها. يمتلك كوبت أيضا البنية أو المعمارية الخاصة به؛ ومع ذلكء فإن 
النسخة المنشورة الحالية لبنية كوبت (كوبت )0,١‏ قد تخيف غير ال متخصصين في تقنية 
المعلومات بسبب تعقيدية الرسم التخطيطي للإطار في مسودته الحالية. الشكل التوضيحي 
(0-؟) عبارة عن رسم تخطيطي مبسط لكونات البنية المعمارية الخاصة بالإصدار الخامس 
لكوبت (كوبت .)0,١‏ 

وبالرجوع إلى معمارية كوبت والعودة إلى خطوات بدايتهء نجد أن المبدأ المهم هنا 
هو أن عمليات كوبت والعمليات الأخرى التي تخص حوكمة تقنية المعلومات تكون 
مدفوعة باحتياجات أصحاب المصلحة بدءا من الإدارة العليا التي تأمل في تحسين 
عمليات حوكمة تقنية المعلومات: والتي رها تكون من خلال الإدارة المحلية لتقنية 
المعلومات التي ترغب هي الأخرى في تحسين عمليات محددة في تطبيقاتها. ويكون 
أصحاب ال مصالح عادة عبارة عن مجموعات كبيرة ومختلفة يتشاركون ويختلفون أحيانا 
في بعض الاهتمامات والأمور التي تتعلق بعمليات حوكمة تقنية ا معلومات في المؤسسة. 
ويتم تقديم هذه الاهتمامات أو الاحتياجات إلى العمليات المعتمدة لكوبت. مع التركيز 
على أهداف حوكمة وقيمة تقنية المعلومات. أضف إلى ذلك أن كوبت لا ممكن الاعتماد 
عليه مفرده » إذ لا بد من تنسيق هذه الاحتياجات مع المعايير والأطر والعمليات الأخرى 
الموجودة في المؤسسة. 


1۳۸ دليل المسئول التنفيذي لحوكمة تقنية المعلومات 


إطار كوبت ومعهد حوكمة تقنية المعلومات 


وكما هو موضح في الشكل التوضيحي (5-0).: فإن هذه الاحتياجات تتحقق من خلال 
العناضر التي يطلق عليها كوبت اسم "عتاصر القمكن ٠‏ وهي عبارة عن سلسلة من 
العمليات المنفصلة والمترابطة والتي سنتطرق إليها لاحقا في هذا الفصل. والغرض من 
عناصر التمكين هذه هو - كما يشر إليه الاسم - تنفيذ وتطبيق العمليات الخاضة بنظم 
حوكمة وادارة تقنىة المعلومات امؤسسية. وقد تم تعريف عناصر التمكن بشكل مو سع 
على أنها عمليات أو آليات محددة: أو أي شيء يمكن أن يساعد في تحقيق أهداف الحوكمة 
امؤسسية. ويشمل ذلك موارد كا ملعلومات والأفراد. يحدد إطار كوبت 3ت سبع فئات من 

العملناك 

"'- الطبادئ والسياسات. 

-٣‏ الهياكل التنظيمية. 

ع- الهارات والكفاءات. 

ه- الثقافة والسلوك. 

5- القدرات الخدمة. 


۷- اللعلومات. 


دليل المسئول التنفيذي لحوكمة تقنية المعلومات ۳۹ 


شكل توضيحي (0-؟) 


البنية العامة الممسطة لكوبت 0 





تتفاعل هذه العناصر التمكينية معا بطريقة منتظمة. وهذا يعني أن نظام الحوكمة 
والإدارة لا مكن أن ينجح إلا إذا تم تناول جميع عناصر التمكين والتعامل معها وفهم 
التفاعلات الرئيسية الخاصة بها. وسنقوم لاحقا في هذا الفصل بمناقشة عناصر التمكين 
الخاصة بكوبت. 

بعد ذلك ستقوم عناصر التمكين المستخدمة بتوفير الدعم اللازم لقاعدة البيانات 
المعرفية لكوبت» والتي تتضمن المواد الإرشادية الحالية والهياكل الخاصة بالأنشطة 
اللستقبلية. وسيسهم كل ذلك في تقديم الدعم ال مناسب لتطبيق جميع عمليات الإطار 


م ليل المسئول التنفيذي لحوكمة تقنية المعلومات 


إطار كوبت ومعهد حوكمة تقنية المعلومات 


كوبت والمدعومة أيضا بواسطة مجموعة من الإرشادات المتعلقة بالمنتجات والإرشادات 
المرجعية. إن فكرة البنية المعمارية لكوبت أو الفائدة المرجوة منها هي دعم أهداف إطار 
العمل من خلال تزويد جميع أصحاب المصلحة بالإرشادات الأكثر اكتمالا وحداثة. وهي 
تتعلق بحوكمة وإدارة تقنية المعلومات اللؤسسية. ولتحقيق هذه الفائدةء فإن البنية 
المعمارية لكوبت تضم مجموعة واسعة من ال مكونات الآلية والمكونات المتعلقة بالبيانات» 
مثل المواد الإرشادية التي تحدثنا عنها في فصول أخرى. وسيتم لاحقا في هذا الفصل مناقشة 
الغرض من هذه العناصر التمكينية ووظيفتها بمزيد من التفاصيل. 

كوبت هو مجموعة من المواد التوجيهية التي تدعم العناصر الرئيسية للإرشادات 
الخاصة بحوكمة تقنية المعلومات: والتي تتضمن العديد من المفاهيم والموضوعات المتعلقة 
بالتقنيات الخاصة بحوكمة وإدارة المئؤسسة. لقد قامت ا لمؤسسات بمختلف أحجامها وفي 
جميع أنحاء العالم بتطبيق كوبت بنسخته السابقة .٤,١‏ أما الإصدار الجديد لكوبت (كوبت 
٠‏ ) فإنه يقدم تحسينات للحد من المخاطر المتعلقة بتقنية المعلومات وزيادة الثقة في 
المعلومات التي تقدمها تقنية المعلومات؛ لتمكن من تطوير سياسة واضحة وممارسات جيدة 
لإدارة تقنية المعلومات» وزيادة القيمة المكتسبة من تقنية المعلومات وإدارة الامتثال. 


المبداً الثاني لكوبت: دوافع تحقيق قيمة لأصحاب المصلحة: 

يتحقق تركيز عمل كوبت من خلال تحديد جميع أصحاب المصلحة واحتياجاتهم 
وتحديد الكيفية التي يرتبطون بها مع قرارات وأنشطة الحوكمة والإدارة. ولنا أن نتصور أن 
أصحاب المصلحة المستفيدين من عملية تقنية المعلومات وعمليات تشغيلها منقسمون إلى 
مجموعتين: داخليين وخارجيين. وإن عمليات تشغيل وعمليات تقنية ا معلومات منتشرة 
بشكل كبير. وإن مجموعة أصحاب المصالح الداخليين الذين تم تحديدهم من خلال كوبت 
تشمل أعضاء مجلس الإدارةء الرئيس التنفيذي 2580© المدير المالي (780©).: المدير التنفيذي 
للمعلومات (10©) ومديري الأعمال التنفيذيين» وأصحاب عمليات الأعمالء ومديري 
الأعمالء ومديري ال مخاطرء ومديري الأمسن ومديري الخدمات» ومديري الوارد البشرية 
(18) واطمدققين الداخليين ومستخدمي تقنية المعلومات» ومديري عمليات تشغيل تقنية 
المعلومات» وغيرهم الكثير. وسيكون لكل من هؤلاء توقعات ومواقف مختلفة حول القضايا 


دليل المستئول التنفيذي لحوكمة تقنية ا معلومات ا 


الخاصة بحوكمة تقنية المعلومات. والشكل التوضيحي (0-) يلخص بعض الاحتياجات 
التمطنة لأضعان الصلعة الد المي وققا الاطار كوبت 
شكل توضيحي (0-؟) 
الاحتياجات القياسية لأصحاب المصلحة الداخليين طبقا لكوبت 
٠ه‏ في ضوء أمن تقنية المعلومات, والمخاوف المتعلقة بالخصوصيةء وغيرها من القضاياء هل قمنا بتناول 
جميع المخاطر ذات الصلة بتقنية المعلومات؟ 
٠‏ هل نقوع بتنفيذ عمليات تشغيل فعالة ومرنة لتقنية المعلومات؟ 
ه كيف هكننا ضبط تكاليف تقنية المعلومات بشكل أفضل؟ 
٠‏ كيف يمكننا استخدام موارد تقنية المعلومات بالأسلوب الأكثر فاعلية وكفاءة؟ 
ه ما خباراتنا الأكثر فاعلية وكفاءة لتوريد معدات تقنية المعلومات؟ 
٠‏ هل لدي ما يكفي من الأفراد لتشغيل وإدارة تقنية المعلومات» وكيف ممكنني تطوير والحفاظ على 
مهاراتهم وإدارة أدائهم؟ 
٠‏ كيف نحصل على ضمانات بشأن نتائج وأداء عمليات تقنية المعلومات؟ 
٠‏ هل ال معلومات التي نقوم بمعالجتها مؤمنة بشكل جيد؟ 
« كيف لنا أن نقوم بتحسين مرونة الأعمال من خلال بيئة تقنية معلومات أكثر مرونة؟ 


هل تفش مشروعات تقيية الحلومات كيرا فى تحقيق ما وغدت به؟ 

٠‏ كيف لنا أن نعرف أن تقنية المعلومات وعمليات التشغيل ذات الصلة الخاصة بشركاء الأعمال لدينا 
آمنة وممكن الاعتماد عليها؟ 

٠‏ كيف لي أن أعرف أن المؤسسة متوافقة مع القوانين واللوائح المعمول بها؟ 

٠‏ كيف لنا أن نعرف إذا كانت المؤسسة تحافظ على نظام فعال للرقابة الداخلية؟ 





۴ 20202020202020 ذليل المسثول التنفيذي لحوكمة تقنية المعلومات 


إطار كوبت ومعهد حوكمة تقنية ال معلومات 


كما تضم مجموعة أصحاب المصالح الخارجيين كلا من شركاء العمل والموردين واللساهمين 
والجهات التنظيمية أو التشريعية (الحكومة) والمستخدمين الخارجيين والعملاء ومنظمات المعابير 
القياسية والمدققين الخارجيين والاستشاريين والعديد من الجهات الأخرى المعنية بعمليات وموارد 
تقنية المعلومات. وتشمل احتياجات أصحاب المصلحة الخارجيين أسئلة مثل: 


۰ كيف ۽ يمكنني معرفة ما إذا كانت عمليات شريكي في العمل آمنة ومكن الاعتماد عليها؟ 


» كيف هكنني معرفة ما إذا كانت هذه المؤسسة ووحداتها التنظيمية متوافقة مع القواعد واللوائح 
اللعمول بها؟ 
٠‏ كيف لى أن أعرف ما إذا كانت ال مؤسسة تحافظ على نظام فعال للرقابة الداخلية؟ 





هناك عدة دوافع يمكن أن تؤثر في احتياجات أصحاب المصلحة منها التغييرات التي تطراً 
على الإستراتيجيةء والأعمالء والبيئة التنظيمية: والتطورات التقنية. وتتجسد احتياجات 
أصحاب المصلحة هذه في سلسلة من التوقعات أو المخاوف أو المتطلبات المحتملة؛ كل هذه 
القضايا ترتبط بواحد أو أكثر من أهداف الحوكمة الثلاثة العامة الخاصة بكوبت» وهي: 
تحقيق الفوائد وموازنة المخاطر وتحسين التكلفة. 

إن الغرض من وجود المؤسسات هو إيجاد قيمة لأصحاب المصلحة لديها. ومن ثم فإن 
هدف الحوكمة لأية مؤسسة - تجارية أو غير تجارية - هو إيجاد القيمة وتحقيق فوائد 
بتكلفة مثالية للموارد مع الحد من المخاطر. فالمؤسسات لديها العديد من أصحاب المصلحة 
الداخليين والخارجيين. و"إيجاد القيمة" يعني أشياء مختلفة - وأحيانا متعارضة - لكل فنهم. 
فالحوكمة عبارة عن التفاوض واتخاذ القرارات بشأن تقديم الحلول والتوفيق بين المصالح 
المختلفة لأصحاب المصلحة فيما يخص تحقيق هذه القيمة. ومن ثم فإنه يجب أن يقوم 
نظام حوكمة تقنية المعلومات بالنظر إلى جميع أصحاب المصلحة عند القيام بعمل تقييمات 
واتخاذ قرارات بشأن الفوائد والموارد والمخاطر. إن السؤال الذي يمكنء بل وينبغي أن يطرح 
لكل عنصر من هذه العناصر الخاصة بإيجاد القيمة هو: لمن ستكون الفوائد وال مخاطر؟ وما 
الموارد المطلوبة لتقنية المعلومات؟ 


دلبل المسئول التنفيذي لحوكمة تقنية المعلومات ١+‏ 


الفصل الخامس 


المبدأ الثالث لكوبت: التركيز على سباق الأعمال: 

كما ذكرنا في تعليقاتنا السابقة. بدأ كوبت في الأساس أداة لتدقيق تقنية المعلومات» 
فهو عبارة عن مجموعة محسنة من العمليات الموضّى بها مراجعة وتقييم إجراءات الرقابة 
الداخلية الخاصة بتقنية المعلومات. كيف تغيرت الأشياء على مر السنين؟ ففى الوقت 
الراهنء يقوم الإطار كوبت بتوفير مجموعة قوية من المواد الإرشادية التي تساعد المؤسسة 
على تحسين عمليات حوكمة تقنية ا معلومات» فالمبدأ الأساسي لكوبت هو التركيز على سياق 
الأعمال. 

يؤكد المبدأ الرئيسي الثالث لكوبت أن الغرض من وجود المؤسسات هو خلق أو إيجاد 
قيمة لأصحاب المصلحة. وهناك ثلاثة أهداف لقيمة الحوكمة المعرفة من قبل كوبت هى: 

-١‏ تحقيق الفوائد. 

"- تحسين المخاطر. 

- تحسان اموارد. 

يعمل كوبت على ربط كل هدف من هذه الأهداف الثلاثة بالأهداف المالية والأهداف 
المتعلقة بخدمة العملاء والأهداف الداخلية في المؤسسة. يقوم كوبت أيضا بتحديد 
مجموعة من الأهداف المالية للمؤسسة:. والتي تم تقسيمها إلى عدة فئات من الأهداف 
المؤسسية أي الأهداف المالية. وأهداف العملاء والأهداف الداخليةء والأهداف الخاصة 
بالتعلم والنمو. الشكل التوضيحي (64-0) يعرض ملخصا لأهداف الحوكمة في كوبت مقابل 
الأهداف المالية للمؤسسة من حيث كونها علاقة رئيسة أو ثانوية مع أهداف قيمة الحوكمة 
المعرفه من قبل كوبت. 


1 دليل المسئول التنفيذي لحوكمة تقنية المعلومات 


إطار كوبت ومعهد حوكمة تقنية ال معلومات 


شكل توضيحي 6-0 


ملخص أهداف الحوكمة في كوبت مقابل الأهداف المؤسسية 





.١‏ القيمة المتحققة لأصحاب المصلحة من استثمارات 
الأعمال 


. الشفافية المالية 


. ثقافة خدمية موجية نحو العميل 


. تحسين الأداء الوظيفي لعمليات الأعمال 


. تحسين تكاليف عمليات الأعمال 

. إدارة برامج التغيير في بيئة العمل 

. الإنتاجية التشغيلية وإنتاجية طاقم العمل 
. التوافق مع السياسات الداخلية 

.١‏ أفراد ذوو مهارة ومتحمسون 


. ثقافة الابتكار في المنتجات والأعمال 


دليل المسئول التنفيذي لحوكمة تقنية ا لعلومات ٤۵‏ 








الفصل الخامس 


خيت تظير اللواة الأملية المتشورة لكوت علافات أكتر فحلا لكل هدق من الأهداف 
الثلاثة للحوكمةء كل واحد منها مقابل الأهداف المؤسسية. 


أما الشكل التوضيحي (0-0) فما هو إلا وثيقة أكثر تفصيلا للغرض من الأهداف امالية. 


هذه المقابلة التفصيلية تساعد على وصف البدأ الثالث لكوبت الذي يركز على سياق 
الأعمال: ويتعين على هذه العلاقات أن تساعد الإدارة على مختلف مستوياتها وكذلك أعضاء 
طاقم العمل على فهم العلاقات والروابط الموجودة بين عمليات تقنية المعلومات وكل من 
أنشطة الأعمال الداخلية والخارجية على نحو أفضل. 
شكل توضيحي (0-0) 
مقابلة الأهداف اللالية التفصيلية للحوكمة في كوبت مع الأهداف المؤسسية 


الأهداف المالية للمؤسسة 


أهداف تقنية الملعلومات 


*. إدارة مخاطر 
الأعمال (وقاية الأصول) 


القوانين والقواعد 





۵. الشفافية المالية 
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الأعمال وإتاحتها 
للتغيرات في بيئة العمل 
.٩‏ اتخاذ القرار 
الإستراتيجى استنادا 


إلى المعلومات 


.١‏ تحسين الأداء 
الوظيفي لعمليات 
الأعمال 


۳ اذارة برامج 
.٤‏ الإنتاجية 
التشغيلية وإنتاجية 
طلقم الل 

10 التوافق مع 
السياسات الداخلية 


71. أفراد ذوو 


۷. ثقافة الابتكار في 
المنتجات والأعمال 





دليل المسئول التنفيذي لحوكمة تقنية المعلومات NEV‏ 


المبدأ الرابع لكوبت: عناصر تمكين إدارة المخاطر والحوكمة: 
كما هو واضح في الوصف الموجز الذي قدمناه للبنية المعمارية لكوبت» فإن عناصر 

التمكين تعد من العناصر الرئيسية في عملية الحوكمة الخاصة بكوبت. فهي عبارة عن 

العناصر الملموسة وغير ا لملموسة التي سحل كينا ما يعملء وفي هذه الحالة فإن هذا الشيء 

هو حوكمة وإدارة تقنية المعلومات في المؤسسة. تظهر البنية العامة الميسطة "لكوبت ٠,ه"‏ 

في الشكل التوضيحي )١-0(‏ وظيفة تسمى عناصر التمكين في وسط العملية الشاملة: التي 

لابد أن تتبناها المؤسسة لتتمكن من حوكمة تقنية اللعلومات. 
وقد حدد كوبت سبعة أصناف أو أنواع مختلفة من عناصر التمكين. كما هو موضح 

بصورة منفصلة في الشكل التوضيحي (1-0). فلكي تحقق المؤسسة أهدافها الرئيسية فإنه 

يتوجب عليها أن تدرك دانم بأنها تقوم بإدارة مجموعة مترابطة من عناصر التمكين التي 

تمتلكها. ويعرض الشكل الخاص بالبنية العامة سبع فئات من عناصر التمكين المترابطة. 

فعناصر التمكين التي حددها كوبت هي: 

-١‏ العمليات: هي تلك المجموعات ال منظمة من الممارسات والأنشطة التي تحقق ق أهدافا 
معينة وتنتج مجموعة من المخرجات لدعم الأهداف الشاملة المتعلقة بتقنية المعلومات. 

"- الثقافة والاخلاقيات والسلوك: إن الثقافة القوية للمؤسسة إلى جانب التركيز على 
أخلاقيات العمل وسلوكيات أصحاب المصلحة الداعمة لتلك القيم يتم التقليل من شأنها 
غالباً إلا أنها من عوامل التمكين الهامة لنجاح أنشطة الحوكمة والإدارة. 

“- الهياكل التنظيمية: تعتبر الأنشطة والسياسات والترتيبات التنظيمية مثابة الوسائل 
الرئيسية لصنع القرار في المنظمة. 

-٤‏ المعلومات: تكون مهمة نظرا لأنها العنصر المنتشر في جميع أنحاء أي منظمة, 
فا معلومات ضرورية للحفاظ على تشغيل المنظمة وحوكمتها بشكل جيدء ولكن على 
المستوى التشغياق فإن المحلومات تكون غالبا هي اللنتج الرئيسي للمؤسسة تفسها. 

۵- المبادئ والسياسات: تعد عناصر التمكين هذه وسيلة لترجمة السلوكيات المرغوب فيها 
إلى إرشادات عملية للإدارة اليومية. 


YEA‏ دليل المسئول التنفيذي لحوكمة تقنية المعلومات 


إطار كوبت ومعهد حوكمة تقنية المعلومات 


- المهارات والكفاءات: وترتبط هذه السمات بالعناصر البشرية وهي ضرورية لإتمام 


۷- القدرات الخدمية: يشتمل هذا العنصر التمكيني على البنية التحتية والتقنية والتطبيقات 

التي توفر للمؤسسة معالجة المعلومات وتقديم الخدمات. 

لا يمكن تواجد أي عنصر من عناصر التمكين السبع تلك بشكل منفرد فجميعها بحاجة 
إلى مدخلات من عناصر تمكين أخرى والتي حددها كوبت لكي تكون فعالة بشكل كامل. 
فمثلاً نجد أن العمليات تحتاج إلى عنصر تمكين ال معلومات» والهياكل التنظيمية تحتاج إلى 
عنصر تمكين الناس» والناس بحاجة إلى المهارات والسلوك. فعناصر التمكين توفر ال مخرجات 
لصالح عناصر التمكين الأخرى (على سبيل المشالء العمليات توفر المعلومات والمهارات 
والسلوك). ولكل من هذه العناصر التمكينية السبعة التي عرفها كوبت وال موضحة في 
الشكل التوضيحي (1-0) خمسة مكونات نوعية هي: 

-١‏ أصحاب المصلحة لعنصر التمكين: على الرغم من أننا قد تحدثنا عن أهمية أصحاب 
المصالح باعتبارها عوامل محركة لعملية كوبت بشكل كاملء فإن لكل عنصر من عناصر 
التمكين السبعة أصحاب المصلحة الداخليين والخارجيين الخاصين به . 


(*) الأطراف التي تلعب دوراً نشطاً و/ أو لديهم اهتمام بهذا العنصر (المترجم). 


دليل المستئول التنفيذي لحوكمة تقنية ا معلومات ١‏ 


شكل توضيحي 0-5 


أصناف أو أنواع عناصر التمكين في كويت 


المهارات والكفاءات 





فللعمليات أصحاب مصالح داخليين وخارجيينء ولكل منهم أدواره الخاصة» لذا يجب 
توثيق أصحاب المصلحة ومستويات مسئولياتهم بطريقة تعبر عن سمات العملية. 

؟- الأهداف والطمقاييس المعيارية": ينبغى تحديد أهداف عنصر التمكين على أنها 
بيان يصق الشحة ا لأمولة مق العملية: فقد کون هذه النتيجة عبارة عن منتج صناعي 
فاع ]نامف أو تغييرا كبيرا على حالة العمليةء أو تحسنا كبيرا في إمكانيات عمليات أخرى. 
وهي تمثل جزءآ من أهداف العملية التي تدعم الأهداف المتعلقة بتقنية المعلومات, 
والتي بدورها تدعم أهداف المؤسسة. في كل مستوىء يجب أن تقوم المقاييس المعيارية 
(*) مؤشرات (المترجم). 


10۰ دليل المسئول التنفيذي لحوكمة تقنية المعلومات 


إطار كوبت ومعهد حوكمة تقنية المعلومات 


بتعريف وقياس إلى أي مدى تم تحقيق هذه الأهداف. ويمكن تعريف المقايبس المعيارية 
على أنها كيانات قابلة للقياس الكمي وينبغي أن تكون محددة ءام م5 وقابلة للقياس 
Measurable‏ وقابلة للتنفيذ ماه« هذاء4ء وذات صله 116167216 وضمن إطار زمني 
(محددة بوقت) 1112619 . 

ويمكن تصنيف الأهداف بطرق مختلفة تتراوح بين الأهداف الاقتصادية» التي تعتبر أكثر 
لعفا نحو تحقيق الكفاءة 88316163: إلى أن تصل إلى أهداف الجودة: التي تعتير أكثر 
توجها نحو تحقيق الفاعلية .Effectiveness‏ 

وبالمثل فإن هناك نوعين من مقاييس العملية: مقاييس الأداء التي لها طابع تنبؤي وهي 
تشير إلى مدى تنفيذ العملية للأنشطة المحددة: ومقاييس النتائج التي تشير إلى حجم أو 
مدى تحقيق العملية لأهدافها والغاية من وجودها. 

*. دورة حياة عناصر التمكين: لا بد من دعم كل من عناصر التمكين تلك بالخطط 
اللازمة لتأسيسه ومن ثم تأت مراحل البناء والاستحواذ والإنشاء والتنفيذ له. وبعد استخدامها 
أو تشغيلهاء فإن عناصر التمكين يجب أن تراقب وتَقيّم بشكل دوري مع تحديث الهدف 
أو التخلص منها عند الضرورة. 

ع. الممارسات الجيدة: لا بد من وضع وتحديد الممارسات الداخلية والخارجية 
باستخدام آدوات مثل الإطار كوبت. فهناك مكونات داخلية وخارجية للممارسات الجيدة 
لعناصر التمكين: وكلاهما يشتمل على ممارسات جيدة في المهاراث البشرية: متضمنا ذلك 
المتطلبات المهارية الموضوعية لكل دور من الأدوار التي يلعبها أصحاب المصالح المختلفين. 
ومكن وصف ذلك من خلال التوصيفات الوظيفية المحددة لمستويات المهارات المختلفة 
باختلاف فئات أو أنواع المهارات. فأنواع أو فئات المهارات تعتمد على الأنشطة ال مرتبطة 
بتقنية المعلومات كإدارة شبكة الاتصالات أو تحليل الأعمال. 

0. سمات عناصر التمكين: لكل عنصر من عناصر التمكين هذه بعض السمات الفريدة 
التي تميزه عن غيره من العناصر التمكينية الأخرى الموجودة في المؤسسة. 
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"عنص الت تمكين" هو ١‏ مصطلح أو مفهوم م يكن شائعا ق عملىات تشغيل وعملىات 
الأعمال قبل عدة سنوات. وقد اشتهر هذا المصطلح بداية من خلال الأوراق العلمية التي 
تتحدث عن قضايا تقنية المعلومات. وعلينا أن نتذكر أن عنصر التمكين هو أداة أو عملية 
توفر القدرات والكفاءات القابلة للقياس والتي من شأنها أن تحسن عمليات الأعمال؛ بدلا 
من أن تقوم فقط بأتمتها. وهي عبارة عن قدرات وقوى وموارد تسهم في نجاح الكيان أو 


المبداً الخامس لكوبت: هياكل قياس أداء الحوكمة والإدارة: 

يركز المبدأ الرئيسي والأخير لكوبت على أهمية المفاهيم المختلفة إلا آنها مترابطة لكل 
من الإدارة والحوكمة في المؤسسة الموجهة نحو تقنية المعلومات. فقد ميز الإطار كوبت 
0.٠‏ بشكل واضح وجاي بين الحوكمة والإدارة. فكلاهما يتضمن أنواعا مختلفة من الأنشطة 
ويتطلب هياكل تنظيمية مختلفة ويخدم أغراضا مختلفة. فهذا التمييز يعد أساسيا بالنسبة 
لنظرة كوبت للحوكمة والادارة. 

إننا ننسى كثيرا أن الحوكمة 807612312©6: ذلك المصطلح الشائع في عاط الأعمال اليوم 
مشتقة من الفعل اليوناني الذي يعنى "التوجيه" "51661 60]". حيث يشير نظام الحوكمة 
إلى كل الوسائل والآليات التي تمكن العديد من أصحاب المصلحة في المؤسسة من أن 
يكون لهم كلمة مؤثرة في تقييم الظروف والخيارات؛ تحديد الاتجاه؛ متابعة التوافق والأداء 
والتقدم المحرز مقابل الخطط الموضوعة لتلبية أهداف مؤسسية محددة. وكل هذا يشير 
إلى مجموعة كبيرة من الأنشطة التوجيهية. وتشتمل الوسائل والآليات هنا على أطر العمل 
والمبادئ والسياسات والرعاية والهياكل وآليات صنع القرار إلى جانب الأدوار والمسئوليات 
والعمليات والممارسات اللازمة لتحديد الاتجاه ومتابعة الامتثال والأداء الذي يتسق مع 
الأهداف الشاملة. هذا هو التعريف الكبير والشامل نوعا ما لحوكمة تقنية المعلومات: إلا 
أن الفصول التالية سوف تناقش القضايا الأخرى التي تدعم هذا التعريف. وعلينا أن نتذكر 
دائما أنه في معظم المؤسساتء تكون الحوكمة مسؤولية مجلس الإدارة وتحت قيادة الرئيس 
التنفيذي C٤0‏ ورئيس مجلس الإدارة. 


إطار كوبت ومعهد حوكمة تقنية ال معلومات 


يتم غالبا تمييز الإدارة عن الحوكمة: فالإدارة تستلزم الاستخدام العادل للموارد والناس 
والعمليات والممارسات وغير ذلك لتحقيق الغاية المرجوة. فهي الوسيلة أو الأداة التي بها 
يحقق كيان (أو هيثة) الحوكمة نتيجة أو هدفا. فالإدارة مسئولة عن التنفيذ ضمن الاتجاه 
الذي تم تحديده أو وضعه من قبل هيئة أو وحدة التوجية. فالإدارة تتعلق بالتخطيط والبناء 
والتنظيم ومراقبة الأنشطة التشغيلية لتتماشى مع الاتجاه الموضوع من قبل هيئة الحوكمة. 

تؤكد الإرشادات الخاصة بكوبت أن الحوكمة والإدارة هما نوعان مختلفان من الأنشطة 
ولكل منهما مسؤوليات مختلفة. ومع ذلك» وبالنظر إلى دور الحوكمة - في التقييم والتوجيه 
للحصول على نظام حوكمة دي كفاءة وفاعلية. إذ يتم ربط هذه التفاعلات» باستخدام 
البتية اللعمارية لعناصر التمكينء. بعمليات محددة لمراجعة الضوابط الداخلية, التي تعد 
نقطة القوة الحقيقية لإطار العمل كوبت. 


مطابقة عمليات كوبت مع أهداف تقنية المعلومات من خلال الجمع بينهما: 

يحدد إطار العمل كوبت ومواده الداعمة ال منشورة مجموعة رفيعة المستوى من 
العمليات التى تحدد اتجاه أهداف أعمال المؤسسة وموارد تقنية المعلومات. وهى التى 
صممت 7 لتناسب إلى حد ما جميع أحجام المؤسسات وأنواعهاء وقد تم نيك ده 
العمليات إلى مجموعتين: الأولى باعتبارها عمليات لحوكمة تقنية المعلومات المؤسسية. 
والثانية هي مجموعة منفصلة من العمليات التي تقوم بتقديم الإرشادات الخاصة بإدارة 
تقنية ا معلومات اللؤسسية. تحتوي كل مجموعة من هاتين ابلجموعتين على سلسلة من 
الإجراءات أو العمليات الأكثر تفصيلا. فبالنسبة لإدارة تقنية ا معلومات ف المؤسسة» هناك 
مجموعات من العمليات أو الإجراءات للقيام بالتالى: 

٠‏ التوفيق والتخطيط والتنظيم. 

ة الشناء والاستخواذ والتتفيذ. 

٠‏ تقديم الخدمة والصيانة والدعم. 

« التقييم والتوجيه والمتابعة. 
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كل مجموعة من هذه المجموعات تتضمن بعد ذلك عمليات أكثر E‏ في كوبت. 
شالنسية للجموعة البناء 811110 والاستحواذ ع11ناوع4 والتنفيذ 11216126121 قان إرشادات 
كوبت تكون منظمة على شكل فئات لتحقيق أهداف الرقابة الداخلية باستخدام أسماء 
الترميز التاليه المعرقه من قبل كوبت: 

2 - تحديد المتطلبات 

3 - تعريف وبناء الحلول 

4 - إدارة الإتاحة والسعة 

5 - تمكين التغيير التنظيمى 

6 - إدارة التغييرات 

7 - قول وانتقال التغييرات 

وقد تم تعريف مجموعة مشابهة من فثات أهداف الرقابة الخاصة بالعملية لكل فئة 
من فئات العملية المذكورة. إن الغرض من عمليات الرقابه التفصيلية: وان كانت محددة 
إلى حد ماء هو المساعدة في دراسة الحالة المؤسسية 456) 811512655 لتنفيذ وتحسين 
حوكمة وإدارة تقنية المعلومات. هدفها هو التعرف على كل نقطة من نقاط الأ أو النقاط 
الحرجة الأساسية والأحداث المحفزةء وذلك من خلال الهدف العام لخلق البيئة المناسبة 
لعمليات تشغيل تقنية المعلومات وت تطسيقاتها. 

لقد قام كوبت بتعريف مجموعة مكونة من ۱۷ هدفا مرتبطا بتقنية المعلومات كن 
مناظرتها مع كل عملية من هذه العمليات. وتنقسم هذه الأهداف أيضا إلى فئات أخرى 
معنونة ب "الشركة" و"العميل و"داخليا" و"التعلم والنمو". وقد تتغير هذه العناوين 
عندما يتحول كوبت من مسودة النسخة النهائية الحالية» ففئة مثل "الشركة" لا تعني آن 
الإرشادات تنطبق فقط على الشركات العامة بل على المؤسسات بأكلمها. 


16 دلبل اللستول التنفيذي لحوكمة تقنية المعلومات 


إطار كوبت ومعهد حوكمة تقنية المعلومات 


الشكل التوضيحي )۷-٠١(‏ يوضح القابلة أو المناظرة بين أهداف كوبت المتعلقة بتقنية 
المعلومات والعوامل الخاصة بعمليتين من عمليات كوبت هما: (التقييم والتوجية 
وامتابعة) evaluate, direct, and monitor (EDM)‏ و(تقديم الخدمة والصيانة والدعم) 
service, and support (D55)‏ ,iverاde.‏ فهذه المناظرة توضح كيف يتم دعم كل هدف 
من الأهداف المتعلقة بتقنية المعلومات من قبل إحدى عمليات كوبت. كما هو مبين 
بالشكل التوضيحي (0-/) والذي تم التعبير عنه باستخدم مقياس معين حيث إن: 

« ر ترمز إلى علاقة رئيسية بين الهدف الخاص بتقنية المعلومات وعملية كوبت المرتبطة 
بم قفتا ذكوق هناك علاقةهامة یت تن عة كوي الضدمة اعيا رسا لتحقيق 
هدف تقنية المعلومات. 

٠ث‏ ترمز إلى ثانوي ذلك عندما لاتزال هناك علاقة أقل أهمية وتكون عملية كوبت 
داعا ثانودا لهدف تقدية المعلوفات: 

٠‏ فراغ عندما لا توجد في هذه الحالة علاقة قوية. 


على سبيل المثال تمتلك عملية كوبت التي يرمز لها بالرمز 10557 والخاصة ب "إدارة 
الأمن" علاقة قوية أو رئيسية مع هدف تقنية المعلومات المدعو أو المسمى "الامتثال ودعم 
القوانين واللوائح التنظيمية" الخاصة بالمؤسسة. العملية 2557 نفسها لها أيضاً علاقة 
ثانوية مع العديد من الأهداف الأخرى لتقنية المعلومات مثل الهدف رقم سبعة (۷) 
والخاص بتقديم خدمات تقنية المعلومات وفقاً لمتطلبات الاعمال. 

تؤكد إرشادات كوبت أن الحوكمة والإدارة هما نوعان مختلفان من الأنشطة»ء لكل منهما 
مسؤولياته ا مختلفة. ومع ذلك» ونظراً للدور التوجيهي الذي تلعبه الحوكمة - للتقييم 
والتوجيه والمتابعة - فإن هناك مجموعة من التفاعلات التبادلية الضرورية بين الحوكمة 
والإدارة للوصول إلى نظام حوكمة ذي كفاءة وفاعلية. ويتم بعد ذلك الربط بين هذه 
التفاعلات وعمليات محددة في كوبت خاصة ممراجعة الرقابة الداخلية؛ وذلك باستخدام 
البنئة المعمارية لعناضر التمكين: وهو ما يعد القوة الحقيقة للإطار. 
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بالنسبة للعديد من كبار المديرين. قد يبدو إطار العمل كوبت أكثر تفصيلاء وأنه 
يحتوي على مجموعة من الغايات والأهداف المعقدة بعض الشيء. ومن الممكن تحقيق 
الفائدة القصوى من استخدام كوبت فق ط إذا تم تبنيه على نحو فعال وتكييفه ليلائم 
البيئة الفريدة لكل مؤسسة. فكل نهج تطبيقي سيكون أيضا بحاجة إلى أن يُعَالجٍ تحديات 
محددة: ا في ذلك إدارة تغيرات الثقافة والسلوك. لقد ,لس هذا الفصل فقط الهيكل العام 
لكوبت وإصداره الحالي (الاصدار الخامس). 
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إطار كوبت ومعهد حوكمة تقنية المعلومات 


شكل توضيحي (1-0) 
مثال المقابلة بين أهدف الإطار كوبت وأهداف تقنية المعلومات 


لوج بحسن gerry‏ لجع 


آنا گن اهر 


شقافية أسساب 
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TREY F sg جاجو‎ Ta fre ehe 
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rl rq Û gî‏ حر أب رحن tg‏ كوه 


الأهدنق المتعلقة يطلنية المعنومات 





الفصل الخامس 


استخدام كوبت في بيئة قانون ساربينز أوكسلي :)SOx)‏ 

عندما تم تفعيل قانون ساربنز أوكسلي ×50 للمرة الأولى في الولايات المتحدة: كان 
هناك القليل من الإرشادات حول كيفية تطبيق وإدارة البند ٤٠٤‏ من هذا القانون والخاصة 
مراجعات الرقابة الداخلية. وقد أشار مجلس الإشراف ال محاسبي على الشركات المساهمة 
Public Company Accounting Oversight Board (PCAOB)‏ »الذي تقدم عرضه 
في الفصل الثاني من هذا الكتاب» إلى أنه كانت لديه النية لوضع بعض ال معايير المحددة إلا 
أنه قد تعمد في البداية ترك المؤسسات والمدققين الخارجيين دون توجيه. ومع التشديد 
المكثف على أنظمة الرقابة الداخلية الرفيعة المستوى لتقنية ا معلومفات. قامت العديد من 
المؤسسات بتبني الإطار باعتبارة إطارا خاصا بالرقابة الداخلية على أنه أحد الخيارات التي 
تساعد في تحقيق الامتثال لقانون ساربنز أوكسلي 01 . 


قام البند ٤٠٤‏ من قانون ساربنز أوكسلي ×50 الخاص بمتطلبات تقييم الرقابة 
الداخلية بتسليط الضوء على النهج القائم على المخاطر لتقييم الضوابط الداخلية مع 
التأكيد على إطار الرقابة الداخلية ©0050.: الذي تم الحديث عنه في الفصل الرابع 
من هذا الكتاب. يعد كوبت بمثابة إطار عمل بديل وقوي لتقييم الضوابط الداخلية 
ولاسيما في البينات التي تركز بشكل مكثف على عمليات وموارد تقنية المعلومات. 
ويمكن وصف كل من الرقابة الداخلية الخاصة بلجنة المنظمات الراعية (6050©) 
وكوبت على أنها أطر عمل متعددة الأبعاد لوصف بيئات الرقابة الداخلية الخاصة 
بكل منهما. فكل منهما يشبه الآخر ولكن مع وجود اختلافات طفيفة في التصنيفات 
فلاس عسات الشكل التوضيحي (6-0) يبين المناظرة أو المقابلة بين الإطار كوبت 
ونموذج الرقابة الداخلية (0050). 


إطار كوبت ومعهد حوكمة تقنية ال معلومات 


شكل توضيحي )۸-٥(‏ 
العلاقة بين مكونات C050‏ وأهداف 60181535 
أهداف COBIT‏ 


معواات بان لكايه اندز 


اخلية 


COSO 





يمكن استخدام أهداف كوبت: بدءاً من التخطيط والبدء في تنفيذ المشاريع وصولا 
إلى المتابعة والتقييم لفهم وتقييم الضوابط الذاخلية من خلال اللكونات الخمسة لإطار 
الرقابة الداخلية 6050. وسواء تم استخدام إطار الرقابة الداخلية ٥050‏ بشكل عام 
آم تم استخدام كوبت» فإن تحليل هذين الإطارين اللذين ينطلق من خلالهما سلسلة من 
العملياث تبدأ من التخطيط إلى إجراء تقييمات المخاطر, حتى نصل إلى تحديد وتوثيق 
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الفصل الخامس 


وتقييم الضوابط الداخلية الرئيسية؛ كل ذلك سيساعد اللؤسسة على تحقيق الامتثال للبند 
٤‏ من قانون ساربنز أوكسلي ×50. أضف إلى ذلك» أنه من خلال الدعم المقدم لكوبت 
من قبل المنظمة المهنية 1161 والقبول الدولي الواسع النطاق له. يعد وثيقة حية يتم 
تحديثها من وقت لآخر. 

في ظل وجود قانون ساربنز أوكسلي :50: والتشديد المتزايد على حوكمة تقنية 
المعلومات. وإدراك مدى أهمية تقنية ال معلومات في معظم قرارات الرقابة الداخلية: فة فقد 
مر كوبت بعدة مراجعات حتى وصل إلى نسخته الحاليه الممثله بالإصدار الخامس الذي 
سيتم إطلاقه قريبا. لقد قام معهد حوكمة تقنية المعلومات الراعي لكوبت بعمل رائع هو 
إصدار مجموعة من المطبوعات التي ترسم علاقة الإطار كوبت مع تلك المعايير الأخرى. 

إن المجموعة الكاملة من مواد أهداف الرقابه في كوبت سوف توفر دعما قويا لفريق 
الإدارة الذي يقوم بإجراء مراجعة لتقييم الرقابة الداخلية في ضوء البند 606 من قانون 
1. وعلى الرغم من أنه يمكن استخدام هذه المفاهيم في آي مجال من مجالات الرقابة 
الداخليةء فإن التركيز هنا فقط على تطسقات وعملدات تقنية المعلومات. وبالنسية للعديد 
من المؤسسات فإن فهم وتقييم الرقابة الداخلية المرتبطة بتقنية المعلومات هو ا مفتاح 
لتحقيق الامتثال لقانون ×50. وعلى الرغم من أن كوبت موجود منذ سنوات عديدة فإنه 
ولفترة طويلة كان الكثير ينظر إلبه على أنه مجرد أداة متخصصة لتدقيق تقنية المعلومات»: 
وم يكن يُنظر إليه على آنه يقدم المزيد من المساعدة في أعمال التقييم الأخرى للضوابط 
الداخلية والتدقيق الذاغلى بوجة عام وعلى الرغم من أن تركيز كوبت لا يزال مُنْصَياً على 
تقنية المعلومات: فإنه يجب على كبار المديرين أن يقوموا باستكشاف هذا الإطار باعتباره 
آداة ممتازة للمساعدة ف الامتثال للمتطلبات الحالية والمتطورة لقانون ×50. 


كوبت في دائرة الضوء: 

ينبغي على جميع كبار المديرين المتخصصين سواء في التشغيل أم في المالية أو تقنية 
المعلومات في المؤسسة أن يكون لديهم على الأقل فهم عالي المستوى لإطار العمل كوبت. 
فهو بوجه خاص أداة مفيدة وهامة لتقييم نظم الرقابة المالية الداخلية والعمليات الشاملة 
للحوكمة في بيئة أكثر توجها نحو تقنية المعلومات - وهي البيئة التي نواجهها ڌ تقريبا اليوه 
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إطار كوبت ومعهد حوكمة تقنية المعلومات 


بشكل دائم. إن قرار استخدام كوبت في عمليات حوكمة تقنية المعلومات لا ينبغي أن يكون 
مؤقتا أو قراراً فردياً لأحد كبار المديرين. بل ينبغي على كبار المديرين وكذلك المتخصصين 
في الرقابة الداخلية والمدققين الداخليين لديهم في المؤسسة القيام بتطوير الأهداف واتخاذ 
الخطوات اللازمة لتنفيذ إطار العمل كوبت. 

يعد كوبت إطار للرقابة الداخلية وأداة تقييم رائعة - وفي بعض الأحيان رائعة للغاية - 
لوضع عمليات خاصة بحوكمة تقنية المعلومات وتقييم الضوابط الداخلية لها. ولعل أكبر 
عائق يواجه الإدارة العليا التي تحاول استخدام كوبت بشكل كامل هو أن هذا الإطار قد تم 
بناؤه في الأصل ليكون بالمقام الأول أداة لتدقيق تقنية المعلومات. على الرغم من أن انتقال 
رعاية المواد الإرشادية لكوبيت من إزاكا إلى 1101 قد أدى إلى توسيع جاذبيتها وتركيزهاء 
فإن هناك عن كثيفا عدا على تقنية المعلومات في العديد من هذه ال مواد ال منشورة. ومن 
المؤكد أن هذا يخيف البعض. 

تكمن القوة الحقيقية لكوبت ف تركيزه على حوكمة تقنية المعلومات كما هو مبين في 
الشكل التوضيحى .)١-0(‏ حيث يوضح الشكل أهمية التحالف الإستراتيجي ب بين الأعمال 
وموارد تقنيه المعلومات إلى جانب إيصال القيمة وإذارة الموارد وإدارة ا مخاطر وعمليات 
قياس الأداء. وهذه الأمور تسمح للمؤسسة بتأسيس حوكمة فعالة لتقنية ا معلومات: 
وينبغي أن يساعد كوبت في إدارة وفهم هذه المفاهيم. ولنا أن نتوقع استمرار نمو المعايير 
وا ممارسات المنشورة لكوبت والذهاب إلى ما هو أبعد من كونها مجرد مفاهيم أساسية 
خاصة ب "تدقيق تقنية المعلومات". 


e 


دقع کل من معهد حوكمة تقنية اا ملعلومات (1161) وجمعية ضبط وتدقيق نظم 
المغلومات (05404 ق مدينة روليج هيدوز بولاية إلوي الأمريكية: 


"- كوبت 5: الملسودة الخاصة بعرض الإطار (رولينج ميدوزء الينوي» معهد حوكمة تقنية 
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الفصل الخامس 
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إرشادات إطار آيتيل (1111) وإدارة خدمات تقنية المعلومات 


في الواقع لم يكن مفهوم إدارة خدمات تقنية المعلومات 58157101 '11 
MANAGEMENT (SM)‏ معروفا في الأيام الأولى لإدارات عمليات تشغيل تقنية 
المعلومات الخاصة ممؤسسات الأعمال. فإدارة خدمات تقنية المعلومات 11511 عبارة 
عن النظام أو الأسلوب المتبع لإدارة نظم تقنية المعلومات التي تعتمد على رأي العميل في 
حجم مساهمة تقنية المعلومات في الأعمال. تعمل عمليات إدارة خدمات تقنية المعلومات 
بشكل مدروس ومتزن على عكس الأساليب التقنية المركزية التي كانت تستخدم في الماضي 
لإدارة تقنية اللعلومات» وتعد العمليات القوية لإدارة خدمات تقنية المعلومات من العناصر 
الهامة في الحوكمة الفعالة لتقنية المعلومات. 

يستعرض هذا الفصل القضايا الهامة في إدارة خدمات تقنية المعلومات 1151/1 بالنسبة 
للحوكمة الفعالة لتقنية المعلومات» وذلك من خلال تعريف كبار محترفي الأعمال المتخصصين 
لمكتبة المبنية التحتية لتقنية المعلومات Information Technology Infrastructure‏ 
e 5‏ وهى عا عن مجموعة من أقغل اهار سات تارق عليها دولا 
والتي تغطي معظم اللعؤاقب الخاصة بعمليات تشغيل تقنية المعلومات. 

ايتل (1111) هو اختصار متعارف عليه ومعترف به للمواد الإرشادية الآخذة في التوسع 
والتي وضعت لأول مرة في تمانينيات القرن الماضي من قبل مكتب التجارة الحكومية 
ce 01 Government Commerce (OGC)‏ التابع للحكومة البريطانية. وعلى 
الرغم من أنها كانت في الأصل عبارة عن مكتبة كتب حقيقية: فإنها اليوم تعد مجموعة 
من أفضل الممارسات المستقلة لتقنية المعلومات والتي يتم تحديثها بانتظام والتي قد 
تم اعتمادها في البداية على نطاق واسع من قبل عمليات تشغيل تقنية ا معلومات في 
ا لمملكة المتحدة. ثم تلاها بعد ذلك الاتحاد الأوروبي European Union (EU)‏ وقد شاع 
استخدامها الآن بشكل متزايد ف الولايات المتحدة الأمريكية. وكما هو الحال تماما بالنسبة 
لشركة آي بي إم (18) التي أصبحت اسما بحد ذاتها بدلاً من كونها اختصاراً لآلات 
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القصل السادس 


الأعمال العالمية Business Machines‏ 1216131031 فإن معظم المهنيين المحترفين 
هذه الأيام قد نسوا الكلمات التي يتكون منها .1111. 

آيتل (.1111) عبارة عن إطار عمل تفصيلي لأفضل الممارسات المهمة لتقنية ا لمعلومات» 
ما فيه من قوائم مراجعة ومهام وإجراءات ومسؤوليات شاملة تم تصميمها لتتلاءم مع أي 
إدارة من إدارات تقنية المعلومات. فمن خلال تقسيم العمليات الأساسية الخاصة بتقديم 
الخدمات إلى عمليات خاصة بتقديم خدمات تقنية المعلومات وعمليات تعمل على دعم 
الخدمات؛ أصبح آيتل الآن في واقع الأمر أسلوبا أو منهجية لوصف العديد من العمليات 
الأساسية الموجودة ف إدارة خدمات تقنية المعلومات. مثل إدارة التهيئة أو إدارة التغيير. 
ويحدد إطار آيتل سلسلة من أفضل الممارسات الأساسية التي لا غنى عنها في حوكمة تقنية 
المعلومات. 

تعد مفاهيم آيتل هامة بالنسبة للحوكمة الفعالة للعمليات التشغيلية في تقنية 
اللعلومات ف أي مؤسسة: :وبشكل مغاير تماما للأيام الأول لظهور نظم تقنية اللعلومات 
المؤسسية عندما كان يقوم مطورو نظم وإدارات تشغيل تقنية المعلومات ببناء العديد من 
النظم الرئيسية المرتبطة بتقنية المعلومات: فإن إدارة خدمات تقنية المعلومات (1152/1) 
تدعو مستخدمي تلك التقنية إلى أن يكون لهم دور أكبر بكثير في مثل هذه العمليات 
الشاملة. 


أساسيات آيتل: 

آيتل عبارة عن (أو كان في وقت من الأوقات) "مكتبة" رسمية للمطبوعات التقنيةء التي نشرت 
من قبل مكتب تجارة الحكومة البريطابفي!'' .British Office of Government Commerce‏ 
حيث يتم التحكم في المطبوعات ومحتوياتها بشكل محكم» وذلك على غرار مطبوعات المعايير 
الدولية الصادرة عن الآيزو 150 والتي تم الحديث عنها في الفصل السابع من هذا الكتاب. 
يقدم آيتل إطار عمل لحوكمة تقنية المعلومات يركز على القياس والتحسين المستمر لجودة 
خدمات تقنية المعلومات المقدمةء وذلك من منظور الأعمال والعملاء. وقد كان لهذا التركيز 
دور رئيسي في نجاح آيتل في جميع أنحاء العام كما أسهم أيضا في استخدامه وف الفوائد 
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أنحاء الإدارات التابعة لهم. وفيما يلي بعض من هذه الفوائد: 
٠‏ تحسين إتاحة الخدمات يؤدي بشكل مباشر إلى تزايد محتمل لأرباح وعائدات الأعمال. 
٠‏ تحقيق توفيرات مالية نتيجة تقليص تكرار العمل وتقليص الوقت ا مهدر وتحسين إدارة 
الموارد واستخدامها. 
٠‏ تحسين الوقت لتسويق النواحي الخاصة بتقنية ال ملعلومات من منتجات وخدمات 
جديدة. 
ه تحسين صنع القرار وتحسين المخاطر لكافة العمليات ذات الصلة بتقنية ال معلومات. 
تشمل أفضل ممارسات آيتل الخاصة بتقديم الخدمات ما يطلق عليه غالبا مضطلح 
البنية التحتية لتقنية المعلومات» وهي العمليات الداعمة التي تسمح لتطبيقات تقنية 
المعلومات بالعمل وتوصيل نتائجها لمستخدمي النظم. في كثير من الأحيان» كانت إدارة 
المؤسسة تركز اهتماماتها على الجانب التطويري للتطبيقات المرتبطة بعمليات تقنية 
المعلومات وتهمل الدعم الهام والضروري لعمليات تقديم الخدمات. فمن الممكن على 
سبيل المثال أن تبذل المؤسسة مجهوداً ضخماً في بناء وتطبيق نظام جديد للتنبق بالميزانية, 
غير أن القيمة الحقيقية المكتسبة من هذا التطبيق أو النظام الخاص بالميزانية ستكون 
قليلة مالم تكن هناك عمليات وإجراءات جيدة معمول بها وموضوعة في موضع التنفيذ. 
كعمليات ادارة المشاكل والحوادث» التى تسمح لمستخد مي هذا النظاح (التنىة بالميزانية) 
بأن يقوموا بالإبلاغ عن الصعوبات أو المشاكل التي تواجههم آثناء استخدامهم له. ومن 
الضروري أيضا أن تكون هناك عمليات جيدة تتعلق بالسعة والإتاحة لي تسمح للتطبيق 
الجديد بالعمل بالشكل المطلوب. إن جميع عمليات الآيتل هذه تعد جزءا من البنية 
التحتبة لتقنية المعلومات» فالتطبيقات ال محكمة والمصممة على نحو جيد تكون قيمتها 
محدودة بالنسبة طمن يستخدمها في حال عدم وجود مثل هذه العمليات القوية الخاصة 
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الفصل السادس 


في الوقت الذي انتشرت فيه أفضل الممارسات آيتل خلال السنوات الأخيرة في العديد من 
الأماكن الأخرى ف العام» أصبحت الآن أيضا أكثر قبولا ومخترفا بها على نطاق واسع داخل 
الولايات المتحدة. تقدم الأجزاء التالية لكبار المديرين نظرة عامة عن العمليات الهامة 
والخاصة بتقديم الخدمات في آيتل. وهذا من شأنه أن يقدم بعض الإرشادات المتعلقة 
بالكيفية التي يجب من خلالها أن تمتلك إدارات تقنية المعلومات في المؤسسة عمليات 
فعالة وفي الموضع المناسب لهاء مثل وجود مكتب مساعدة أو خدمة العملاء في المجالات 
المهمة لعمليات تقنية المعلومات. لا يحدد ايتل معابير بعينها لبناء وإدارة الضوابط الخاصة 
بتقنية المعلومات» ولكنه يقترح طرقاً جديدة لتنفيذ وتشغيل ضوابط عامة للبنية التحتية 
التي ينبغي أن يكون معمولاً بها بالفعل. 

يمكن النظر إلى إستراتيجيات تقديم الخدمة الموجودة في آيتل على أنها دورة مستمرة 
لحياة النشاطء حيث تحتوي هذه العملية على ثلاث أنشطة تم عرضها في الشكل التوضيحي 
)-١(‏ وهي: تقديم الخدمة ودعم الخدمة وانتقال الخدمة. وسنقوم بمناقشة كل من 
هذه الأنشطة في الأجزاء التالية. إن المبداً الرئيسي هنا هو أن المؤسسة المستعدة لتطبيق 
الآيتل ينبغي أن يكون لديها عمليات مستمرة وجاهزة تتعلق بالخدمات وتتضمن جميع 
العمليات لكر ى في إدارة الخدمات وتستقبل مدخلات من مصادر خارجية لعملاء تقنية 
المعلومات. تقح العملية الخاصة بإستراتيجية الخدمة في وسط هذه الحلقات المركزية. 
حيث تشتمل هذه العملية الأساسية أو المركزية على السياسات والممارسات الخاصة بإدارة 
تقنية المعلومات والتي تم وصفها في عنصر بيئة الرقابة في إطار الرقابة الداخلية (6050) 
والذي تم طرحه في الفصل الرابع من هذا الكتاب. كما يُظهر الشكل التوضيحي (7-؟) هذا 
النموذج نفسه الخاص بتقديم الخدمات كعملية لخريطة سير التغذية الراجعة. 

وقد جرت العادة على تقسيم عمليات آيتل إلى عمليات لدعم الخدمات وعمليات 
لتقديم الخدمات. فعمليات دعم الخدمة تساعد في جعل تطبيقات تقنية ال معلومات 
تعمل بطريقة فعالة ومرضية للعميل؛ RL‏ اس 
كفاءة وأداء عناصر البنية التحتية لتقنية المعلومات. وهناك خمس عمليات لأفضل 
الممارسات المتعلقة بدعم الخدمات ف آيتل والتي تبدأ بالعملية التي يطلق عليها إدارة 
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إرشادات إطار آيتيل وإدارة خدمات تقنية المعلومات 
الإطلاق 813112861726116 1116356 » وهي المعنية بوضع منتج تقنية المعلومات في البيئة 
الإنتاجية: إلى أن تصل إلى عملية إدارة الحوادث 8122812216 11106126 » وهي ال معنية 
بعمليات الإبلاغ المنتظم عن المشاكل أو الحوادث الموجودة في تقنية المعلومات. تشتمل 
عمليات دعم الخدمة في آيتل على الممارسات الجيدة أو الرشيدة لأي إدارة من إدارات تقنية 
معلومات مؤسسية: والتي تمتد من عملية التشغيل المركزي القائمة على استخدام الخادم أو 
النظم التقليدية القديمة للحاسبات المركزية كنقطة تحكم مركزية لتقنية المعلومات الخاصة 
بها إلى أن تصل إلى العمليات التشغيلية المنتشرة بكثرة لنظم (الخادم - العميل). 


شكل توضيحي (1-5) 


دورة التغذية الراجعة المستمرة ف آیتل 
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الفصل السادس 


شكل توضيحي (5-؟) 


عمليات التغذية الراجعة للخدمة في الآيتل 





وإجراءات وإدارة الخدمة 





ونظرا لوجود العديد من الاختلافات المحتملة في إدارة العمليات التشغيلية لتقنية 
المعلومات. فإن ايتل لم يحدد التفاصيل المتعلقة ب "كيف" يتم تطبيق عمليات دعم 
الخدمة مثل إدارة التهيئة أو إدارة التغيير. وإنما يقوم آيتل باقتراح مجموعة من الممارسات 
والطرق الجيدة لإدارة المدخلات والعلاقات بين تلك العمليات. ولا يوجد أي ترتيب أو 
أسبقية لأي من هذه الممارسات والطرق. فمن الممكن النظر إليها وإدارتها بشكل منفصلء 
ولكنها جميعا ترتبط بطريقة ما بعضها مع بعض. تقدم مجالات إدارة الخدمة الخاصة 
بتقديم ودعم الخدمة المتاحة في آيتل إلى جانب إدارة أمن المعلومات؛ الربط بين العمليات 
التشغيلية للأعمال وإدارة تقنية المعلومات والبنية التحتية الخاصة بها. 
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إرشادات إطار آيتيل وإدارة خدمات تقنية المعلومات 


وعلى الرغم من أن هناك العديد من العناصر المستقلة لكنها مترابطة مع آيتلء فإن هذا 
الفصل سيناقش فقط مكونات دورة حياة الخدمة في آيتل والتي تعد أكثر أهمية بالنسبة 
للعمليات الفعالة لحوكمة تقنية المعلومات. تقترح أفضل الممارسات في آيتل أساليب مفضلة 
للعمليات التشغيلية لتقنية المعلومات لتشغيل النظم الإنتاجية لتقنية المعلومات بطريقة 
تسمح بتعزيز كفاءة العمليات وتقديم خدمات ذات جودة عالية لعملاء أو مستخدمي 
الخدمات. وتكون هذه الأساليب مفيدة على وجه الخصوص عند إجراء عملية التقييم 
وتقديم التوصيات في إحدى مجالات العمليات التشغيلية لتقنية المعلومات. 

أثناء القيام بمراقبة ومراجعة الضوابط الداخلية لعمليات تشغيل تقنية المعلومات» فإن أحد 
الطرق التي تكون غالبا مجدية هو التفكير في مجال تقنية المعلومات الذي يجري مراجعته من 
حيث عمليات الإطار آيتل المستقلة والمذكورة في الأجزاء التالية. على سبيل المثالء فإن إحدى 
عمليات آيتل التي تسمى إدارة الحوادث, أو التي يطلق عليها عادة "مكتب المساعدة"» هي 
إحدى الخدمات المساندة أو الوسيلة التي يمكن استخدامها من قبل عملاء ومستخدمي النظم 
في حال وجود أي استفسار أو مشاكل حول العمليات التشغيلية لتقنية المعلومات. وعلى الرغم 
من الأهمية القصوى للإدارة الخاصة يمكتب المساعدة: فإنه يكون غالبا مصدر شكوىء مثال على 
ذلك» طرح المشكلة نفسها عدة مرات دون وجود أي جهود مبذولة بشكل واضح لتحليل الأمور 
والشروع في حلها. وبالنظر إليه على أنه ليس مجرد كونه مكتب مساعدة تقليدياء بل على أنه 
عملية شاملة يتم من خلالها تحويل المسائل إلى عمليات الدعم الأخرى؛ فإن ذلك سوف يحسن 
أداء وجودة جميع العمليات التشغيلية المتعلقة بتقنية المعلومات في هذه الحالة. 


عناصر استراشيحيمة الخدمة في آبتل: 

يبين الركن العلوي الأيسر من الشكل التوضيحي )١-1(‏ الذي يعرض الرسم التخطيطي 
لعمليات حلقة التغذية الراجعة في ايتل. وظيفة تسمى إستراتيجيات الخدمة. يصف هذا 
العنصر سياسات وإستراتيجيات ومعايير إدارة الخدمة ف آيثل: ويقوم أيضا بتقديم المدخلات 
والإرشادات اللازمة للعمليات الأخرى في آيتل وهي تصميم ونقل وتشغيل الخدمة. كما 
ستقوم تلك العمليات الثلاثة الأخيرة لاحقا بتقديم المدخلات الضرورية لعملية إستراتيجيات 
الخدفة لإجراء التحسينات المستمرة عليها. 
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وكواحدة من ت ا ممارسات الخاصة بحوكمة تقنية ال معلومات» يقترح آيتل أن يقوم 
القانهون على إدارة تقنبة ال معلومات أولا بتقييم إستراتيجية الخدمه الخاصة بهم» وذلك 
من خلال قيامهم بتوجيه بعض الأسئلة الحادة لأنفسهم والتي تتعلق بجودة خدمة تقنيه 
المعلومات التي يقدمونها والتي تشمل: 
٠‏ أي من خدمات تقنية المعلومات التي نقدمها أو عروض الخدمة هي الأكثر تميزا؟ 
٠‏ أي من الخدمات التي نقدمها هي الأكثر ربحية للمؤسسة بأكملها؟ 
٠‏ آي من عملائنا وأصحاب المصلحة هم الأكثر رضا؟ 
« ما المجالات أو الخدمات التي قد تكون نقاط مشاكل محتملة أو مجالات لعدم الرضا؟ 
٠‏ أي من الأنشطة التي نقوم بها هي الأكثر اختلافاً وفاعلية؟ 

هذه الأسثلة ليست من النوعية التي فوم إدارة تقنة المعلومات عادة بتوحييهاء 
سواء من الإدارة أثناء قيامها بتقييم موارد تقنية المعلومات س أو من قبل الإدارة العليا 
أو المدققين الداخليين. بل تمثل بعض الأسئلة الهامة التي ينبغي أن تؤخذ بالحسبان من 
قبل إدارة تقنية المعلومات أثناء قيامها بتقييم إستراتيجيات فدات تقنية المعلومات التي 
تقدمها. والفكرة هي تحفيز إدارة تقنية المعلومات في المؤسسة لكي تكون أكثر من مجرد 
مصدر للحفاظ على عمليات تقنية نقنية ودا بل لتكون أحد المصادر التي تقدم خدمات 
ذات قيمة عالية للمؤسسة بالكامل وبتكلفة 0 الشكل التوضيحي (1-) عبارة عن 
قائمة لبعض الأسئلة الأخرى التي تساعد إدارة تقنية المعلومات للنظر في قدراتها وعروضها 
الإستراتيجية وتحسينها. 

ستكون هناك حاجة لاتباع النهج المتعدد التخصصات للقيام بالرد على هذه الأسئلة 
المطروحة في الشكل التوضيحي (7-7): وذلك بسبب اقتراح آيتل الذي ينص على أنه ينبغي 
على إدارة تقنية المعلومات أن تتعامل مع العديد من الإدارت كالعمليات التشغيلية 
والمالية» وإدارة الجودة: والتدقيق الداخلي لتتمكن من فهم وتحديد الإستراتيجيات 
الرئيسية لتقنية المعلومات في المؤسسة بشكل أفضل. الفكرة كلها هي أنه يجب على 
قسم أو مجموعة تقنية المعلومات أن يقرروا ما هو وضعهم بالنسبة لكامل المؤسسة 
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إرشادات إطار آيتيل وإدارة خدمات تقنية المعلومات 


وما الخدمات التي بإمكانهم أن يقدموها. فقد ينتج عن هذا الأمر الدليل أو البيان 
الخاص محفظة الخدمات والذي يقوم بتحديد القدرات وعروض الخدمات الخاصة 
بتقنية ا ملعلومات. 


تحدث الفصل الخامس من هذا الكتاب عن استخدام إطار العمل كوبت في وضع 
ضوابط عامة وفعالة لتقنية المعلومات؛ فهذه الأنواع المقنعة من الضوابط العامة قد 
استخدمت ف جميع العمليات التشغيلية لتقنية ا لمعلومات في المؤسسة لتوفير الحماية 
الكافية لجميع النظم والتطبيقات. ومن الممكن أن تكون الأقفال المادية والضوابط الأمنية 
الأخرى للركز الخوادم أو النظام الشائع لأمن تقنية المعلومات القائم على استخدام كلمات 
المرور والذي يغطي جميع العمليات التشغيلية لتقنية المعلومات في المؤسسة: أمثلة على 
تلك الضوابط العامة. وكما أكد الفصل الرابع على الضوابط الداخلية (6050)» وكذلك 
الفصل الخامس» فإن سوء تنفيذ نظم الرقابة الداخلية لتقنية المعلومات أو ضعفها سوف 
يؤثر في جميع تطبيقات تقنية المعلومات والتي تعد جزءا من تلك العمليات التشغيلية 
لنظم تقنية المعلومات. 

في ظل ما يشهده العام اليوم من الانتشار الواسع لعمليات ونظم تقنية المعلومات 
الموجودة في جميع أنحاء المؤسسة والتي تمتد من التطبيق الخاص بالتحكم في إحدى عمليات 
وحدات الأعمال ووصولا إلى شبكة الإنترنت واسعة الانتشارء فإنه ينبغي أن يكون لدى كل من 
إدارة المؤسسة والموظفين المعنيين فهم جيد للتقنيات المستخدمة للرقابة الداخلية في تقنية 
المعلومات. وعلى الرغم من صعوبة تحديد الخطوط الفاصلة في بعض الأحيان: إلا أننا نستطيع 
التفكير بشكل عام في ضوابط تقنية ا معلومات على مستويين عريضين هما: ضوابط التطبيقات 
التي تغطي عملية بعينها (مثل تطبيق مدفوعات الحسابات لدفع فواتير المشتريات).: وما 
يطلق عليه ضوابط عامة لتقنية المعلومات. وتشتمل هذه الفئة الأخيرة من الضوابط على 
العديد من الضوابط التي تتجاوز تلك التي ناقشناها في الفصل الرابع من هذا الكتاب» غير أنها 
مهمة لجميع جوانب العمليات التشغيلية الخاصة بتقنية المعلومات ام مؤسسية. 
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الفصل السادس 


شكل التوضيحي (5-؟) 
أسئلة لتنمية القدرات الإستراتيجية في آيتل 


٠‏ ما خدمات تقنية المعلومات التي ينبغي أن نقدمها؟ ولمن؟ بمعنى. هل نخدم جميع 
وحدات امطؤوّسسة أو عينه محدودة أو عملاء من الخارج؟ 


٠‏ كيف نميز أنفسنا عن البدائل المنافسة؟ قد يقدم مزودو الخدمات الخارجيين خدمات 
بديلة: ولكن ما التكاليف أو القيم الفريدة التي تجعل إدارة تقنية المعلومات تظهر 
كبديل أفضل؟ 

٠‏ هل لدى فريق الإدارة إدارات أخرى بديلة لتقديم خدمات تقنية المعلومات من خارج 
المؤسسة يمكن أخذها في الاعتبار بجدية؟ 

٠‏ كيف هكننا حقا خلق قيمة لعملاثنا؟ في كثير من الأحيان: تعالج تقنية المعلومات فقط 
الخدمات المطلوبة مثل تقارير الإقفال ا مالي في نهاية الشهر ولكن لا تعالج المعلومات 
اللازمة لاتخاذ قرارات تخص الاستجابة السريعة. لذلك ينبغي على مديري تقنية 
المعلومات التنفيذيين محاولة معرفة كيف مكنهم خدمة مستخدميهم بصورة أفضل. 

٠‏ كيف هكننا وضع محقظة للاستثمارات الإستراتيجية؟ فبدلاً من مجرد تقديم طلبات 
الميزانيه بانتظام فيما يخص مسائل مثل ترقيات البرمجيات» هل يتم تقييم وتبرير مثل 
هذه الطلبات بعناية من قبل إدارة تقنية المعلومات؟ 

٠‏ كيف ينبي أن نحدد جودة الخدمة؟ من خلال المسوحات والعمل التعاوني. هل كل 
الأطراف المعنية تدرك مدى الخدمات عالية الجودة التي تقدمها تقنية المعلومات؟ 

« كيف ممكننا تخصيص مواردنا بكفاءة من خلال محفظة معرّفة لدينا من الخدمات المقدمة؟ 

٠‏ كيف ممكننا حل الطلبات المتعارضة بالنسبة للخدمات المشتركة؟ 





وعلى الرغم من أن مفهوم الضوابط العامة لتقنية المعلومات موجود منذ الأيام الأولى 
للحاسبات المركزية: فإننا اليوم نستخدم غالبا مفهوم البنية التحتية لتقنية المعلومات للإشارة 
إلى مجموعة العمليات التي تشمل جميع العمليات التشغيلية اللتعلقة بتقنية اللعلومات 
في المئؤسسة. ستكون هناك اختلافات كبيرة جدا بين البنى التحتية لتقنية اللعلومات الخاصة 


بالعديد من المؤسسات الكبيرة والصغيرة اعتمادا على الحجم النسبي لعملياتها التشغيلية 
وطبيعة أعمالها بشكل عام. ونظرا للعديد من هذه الاختلافات المحتملة في أنواع وأحجام 
نظم ومرافق تقنية المعلومات والتي قد تكون ضرورية في هذه الحالة» فإنه في الحقيقة لا 
يوجد هنا مجموعة واحدة من إجراءات رقابة صحيحة وأخرى خاطئة. ولكن ينبغي على 
المؤسسة أن تحدد وتطبق مجموعة من أفضل الممارسات التي من شأنها أن تكون بمثابة 
إرشادات لوضع الضوابط العامة لتقنية المعلومات الخاصة بها. 

في جميع الأحوال فإن المفهوم الهام للرقابة الداخلية هناء يتجاوز غالبا الكيفية التي 
يتم من خلالها إيصال تقارير تطبيقات تقنية المعلومات والمخرجات الأخرى لتقنية 
المعلومات ليصل إلى مستخدمي الأعمال لديها. حيث تقوم كل إدارة من إدارات تقنية 
المعلومات بدغم مجموعة واسعة من عمليات إذارة خدمات تقنية المعلومات التي تم 
تعريفها بواسطة آيتل والتي تضمنت مجالات مثل إدارة المشاكل (بمعنى أنه كيف تقوم 
إدارة تقنية المعلومات بحل المسائل والقضايا المتعلقة بمستخدمي الأعمال لديها) وإدارة 
التهيئة (بمعنى انه كيف تقوم إدارة تقنية المعلومات بمتابعة إصدارات البرمجيات والمعدات 
المستخدمة لديها والاحتفاظ بها في أحد السجلات). تشتمل إدارة خدمات تقنية المعلومات 
على عدد كبير من قضايا الرقابة الداخليةء وبدلا من الحديث عن إيجابيات وأخطاء عملية 
محددة: فهناك بعض الممارسات المْثلى المتعارف عليها والتي يجب على المؤسسة أن تقوم 
باستخدامها. حيث يعد التطبيق الفعال لأفضل الممارسات الموجودة في آيتل أحد العناصر 
المهمة في الممارسات الشاملة الجيدة لحوكمة تقنية المعلومات. 

تعد الإدارة المالية لخدمات تقنية المعلومات أحد المجالات التي يتم تجاهلها غالبا من 
قبل الإدارة المالية وإدارة تقنية المعلومات. إن أفضل الممارسات لإدارة الخدمة التي يوصي 
بهاايتل هي التي تحدد إطار العمل هناء ويجب على وحدة تقنية المعلومات وإدارتها 
أن تضع في الحسبان قضايا الإدارة اممالية أثناء قيامهم بتقييم مخاطر الضوابط الداخلية 
لتقنية المعلومات لديهم وتنفيذهم للتنقيحات والتحسينات الفعالة للضوابط العامة لتقنية 
المعلومات. ونظرا لعدم وجود تعريف محدد بشكل مطلق للا يسمى «آفضل»» فإن البعض 
يشير إلى تلك الممارسات باسم الممارسات الجيدة فقط. 
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وعلى الرغم من وجود العديد من إستراتيجيات إدارة الخدمة التي تم تحديدها ووصفهاء 
فإن الإدارة المالية لخدمات ونظم تقنية ا لمعلومات تعد من أفضل الممارسات الهامة لحوكمة 
تقنية المعلومات التي يتم تجاهلها غالبا من قبل الإدارة المالية وإدارة تقنية المعلومات في 
المؤسسة. وتعد مسألة الإدارة المالية لخدمات تقنية المعلومات واحدة من المجالات التي 
يتم تجنبها من قبل الأخصائيين المحترفين في تقنية المعلومات بحجة أنهم ليسوا محاسبين 
ولا يفهمون الأمور التي تتعلق بالمحاسبة باستثناء القيام بوضع ميزانية بسيطةء في حين أن 
الموظفين الاعتياديين في الإدارة المالية ينظرون غالبا إلى خدمات تقنية المعلومات على أنها 
قضية تقنية بحتة أو لا تتعدى اهتمامها وضع ميزانية أساسية. في جميع الأحوال» فإن مجال 
الإدارة المالية لخدمات تقنية المعلومات يعد أحد المجالات المهمة في الرقابة الداخلية التي 
تدعو للقلق وأحد أفضل الممارسات الموجودة في آيتل. 

كانت إدارة تقنية المعلومات في معظم المؤسسات تعمل ف أيامها الأولى كخدمة دعم 
"مجانية" بالاضافة إلى نفقاتها التي كانت تَعَالجِ من خلال الإدارة المركزية وكذلك التكاليف 
المخضصة لصالح المستفيدين دون إيلاء المزيد من الاهتمام للتكاليف المتعلقة بتقنية 
المعلومات. فإذا ما أرادت إحدى إدارات المستخدمين طلب تطبيق جديد. فإنها ستقوم 
بالضغط على الإدارة لتمويل أعمال التطوير أو شراء حزم البرمجيات اللازمة وإضافة أي 
شخص من الأشخاص الذين لا بد من إضافتهم لإدارتها. مع مرور الوقتء بدأت إدارات تقنية 
ا معلومات بوضع عمليات خاصة بتحميل التكاليف المرتبطة بخدمات تقنية المعلومات التي 
تقدمها وأعمال الدعم التي تقوم بها على المستفيدينء فإنه كان في الغالب ينظر إلى هذه 
العمليات على أنها سلسلة من المعاملات التي تقوم بجمع "أموال غير حقيقية" حيث لا أحد 
يولي المزيد من الاهتمام للوضوع التكاليف الفعلية لخدمات تقنية المعلومات وتسعيرها. 

أما اليوم فيجب أن يؤخذ موضوع التكاليف وتسعير خدمات تقنية المعلومات في 
الحسبان وإيلاء المزيد من الاهتمام به. كما يجب أن تعمل إدارة تقنية ا معلومات المدارة 
بشكل جيد كما لو كانت وحدة أعمال تجارية» وتعد الإدارة المالية في آيتل إحدى العمليات 
الرئيسية الهامة التي تساعد على إدارة الضوابط المالية الخاصة بهذه الوحدة التجارية. إن 
الهدف من عملية الإدارة المالية في إستراتيجية الخدمة هو تقديم النصح والإرشاد الكافي 
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لإدارة الأصول والموارد المستخدمة في تقديم خدمات تقنية المعلومات على نحو جيد وفعال 

من حيث التكلفة. حيث من الواجب أن تكون إدارة تقنية المعلومات قادرة على حساب 

كامل نفقاتها التي تنفقها على خدمات تقنية المعلومات» وأن تقوم بتحميل هذه التكاليف 
الخاصة بالخدمات التي يتم تقدهها على عملاء المؤسسة المستفيدين منها. وهناك ثلاثة 

عمليات فرعية مستقلة ومرتبطة بالإدارة المالية في آيتل هي: 

-١‏ وضع ميزانية لتقنية المعلومات هي عملية توقع وضبط النفقات المالية على موارد تقنية 
ا معلومات. تتضمن عملية تخصيص اليزانية دورة من المفاوضات التي تتكرر عادة كل 
سنةء لتحديد امطيزانيات العامة إلى جانب الرقابة اليومية المستمرة للميزانيات الحالية. 
إن تخصيص اليزانيات يضمن أن يكون هناك تخطيط وتمويل ملائم للخدمات المناسبة 
لتقنية المعلومات وأن تعمل تقنية المعلومات في حدود تلك الميزانية خلال هذه الفترة. 
وسيكون لإدارات الأعمال الأخرى مفاوضات دورية مع تقنية المعلومات لوضع خطط 
الإنفاق والبرامج الاستثمارية المتفق عليها؛ وهي ما ستحدد في نهاية المطاف الميزانية التي 
سيتم تخصيصها لتقنية المعلومات. 

؟- محاسبة تقنية المعلومات هي مجموعة من العمليات التي تمكن إدارة تقنية المعلومات 
من إجراء عملية حسابية كاملة للطريقة التي يتم من خلالها إنفاق أموالها على العملاء 
والخدمات والأنشطة. ولا تقوم إدارات تقنية المعلومات اليوم دانما بعمل جيد في هذا 
المجال. فهي لديها مجموعة واسعة من التكاليف الخارجيةء التي تتضمن البرمجيات» 
والاتفاقيات الخاصة باستئجار المعدات وتكاليف الاتصالات» وغيرها من النفقات: إلا أنه في 
كثير من الأحيان لا يتم إدارة هذه التكاليف أو الإبلاغ عنها بطريقة جيدة. كما أن لديها 
ما يكفي من البيانات اللازمة لدفع الفواتير وتقييم بعض التكاليف يلجالات محددةء إلا أن 
إدارات تقنية المعلومات غالبا ما تفتقر إلى مستوى أكثر تفصيلاً للحسابات» مثل محاسبة 
التكاليف أو نموذج المحاسبة القائم على النشاط الموجود في مؤسسات الإنتاج الكبرى. 

۴- المطالبة المالية هي عمليات التسعير وإصدار الفواتير لمطالبة العملاء بالدفع مقابل 
الحصول على خدمات تقنية المعلومات التي يتم تقدهها لهم. وهذا يتطلب نظاما 
محاسبياً سليم لتقنية المعلومات» ويحتاج إلى أن يتم تطبيقه بطريقة بسيطة ونزيهة 
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ومحكمة جيدا. في بعض الأحيان يتم تقسيم عملية المطالبة بالأموال الخاصة بإحدى 
إدارات تقنية المعلومات بسبب شدة تعقيد تقارير الفواتير المتعلقة بخدمات تقنية 
المعلومات أو يسبب التقنية المتبعة التي يصعب على العديد من العملاء فهمها. تحتاج 
تقنية المعلومات إلى إصدار تقارير واضحة ومفهومة تتعلق بخدمات تقنية المعلومات 
المستخدمة بحيث تمكن العملاء من التحقق من تفاصيلهاء وفهم ما يكفي للاستفسار 
عن الخدمات» والتفاوض بشأن التعديلات إذا لزم الأمر. 
تقوم الإدارة المالية لتقنية المعلومات بدعم عملية إستراتيجية الخدمة من خلال هذه 
الإجراءات المحددة للتكاليف» والتسعيرء والمطالبة. وعلى الرغم من أن هذه العملية للإدارة 
المالية لا تعمل عموما على أنها مركز لتحقيق الأرباح» فإنها تسمح لكل من إدارة تقنية 
المعلومات وعملائها بالتفكير بشكل أفضل بالعمليات التشغيلية لخدمات تقنية ا لمعلومات 
من الناحية التجارية. وقد تسمح عملية الإدارة المالية لإدارة تقنية المعلومات والإدارة بشكل 
عام باتخاذ قرارات تتعلق بتحديد الوظائفء إن وجدت» والتي يجب الإبقاء عليها بداخل 
الشركة والوظائف التي يجب إسنادها (تعهيدها) لمقدمي خدمات من خارج المؤسسة. 
تسمح عملية الإدارة المالية في آيتل بإجراء تحليل دقيق لتكلفة خدمات تقنية المعلومات 
التي يتم تقدهها والعائد المادي منهاء كما تسمح لإدارة تقنية المعلومات بوضع وتحقيق 
أهداف مالية محددة. كما أنها توفر التقارير الخاصة بعمليات إدارة مستوى الخدمات في 
الوقت المناسبء الأمر الذي يمكن العملاء من فهم الطرق المتبعة للمطالبات المالية وتسعير 
الخدمات. فمن بين جميع عمليات آيتل الخاصة بدعم وتقديم الخدمات: تعد عملية 
الإدارة المالية واحدة من أفضل الممارسات في آيتل التي يكون الاهتمام بها غالبا أقل من 
المستوى المطلوب. فاط يول التقنية الموجودة لدى الأشخاص العاملين في تقنية المعلومات 
يدفعهم إلى التفكير بالإدارة المالية على أنها قضية محاسبية. على الجانب الآخر من العملة, 
فإن المهنيين العاملين بالمالية وا محاسبة يميلون إلى التفكير في هذه القضايا على أنها تقنية 
بحتة وأنها لا تتعدى مثل هذه المعاملات الخاصة بمحاسبة استتئجار المعدات أو رسوم 
استئجار المرافق. إن تكاليف وأسعار خدمات تقنية المعلومات تعد من القضايا الهامة في 
حوكمة تقنية الملعلومات. 
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إرشادات إطار آيتيل وإدارة خدمات تقنية المعلومات 


تصميم الخدمة فى آيتل: 
هناك ثلاثة مجالات لعملية إستراتيجية الخدمة في آيتل في دورة حياة خدمة تقنية ال معلومات» 
تبدأ بتصميم الخدمة: وكما هو مبين في الشكل التوضيحى .)١-١(‏ فإن عمليات تصميم الخدمة 
في آيتل تغطي مجالات أكثر انسجاماً مع عمليات التشغيل السَلسَّة وذات الكفاءة للبنية التحتية 
-١‏ تصميم كل خدمة من خدمات تقنية المعلومات التي يتم تقدههاء يشتمل على المتطلبات 
الوظيفية: والموارد الضرورية والقدرات المتوقعة. 
۲- تصميم نظم وأدوات إدارة الخدمة: يتم غالبا تقدهه عن طريق محفظة رسمية لإدارة 
وضبط هذه الخدمات خلال دورة حياتها. 
٣‏ تصميخ النظم المعمازية والإدارية لتقنية المغلومات يعد أمرا ضروريا لتوفير الخدمات: 
6- تصميم العمليات يعد أمراضروريا لتركسب وتشغيل وتحسين محمل العمليات الخاصة بالخدمات. 
0- تصميم أساليب قياس ومقاييس معيارية لعمليات الخدمات والبنية المعمارية لمكوناتها. 
إن ما يقوم آيتل بتعريفه على أنه خدمات العملاء يدل حقيقة على أن كل إدارة من 
إدارات تقنية المعلومات تنشي الكثير من الخدمات للعملاء وأنه لا بد من إدارة وضبط 
هذه الخدمات المعروضة من خلال حوكمة تقنية المعلومات المناسبة واستخدام التقنيات 
الخاصة بأفضل الممارسات. ولدعم عملية تقديم خدمات ذات كفاءة عاليةء قام آيتل 
أعيال تة العلومات: نفضلا لدى إدارة تة المحلومات وس ها على هر السين. كما 
أن هناك عمليات أخرى مثل اتفاقيات مستوى الخدمة Service Level Agreements‏ 
(45.آ51): والتي تحدد الأداء والتوقعات المتفق عليها بين إدارة تقنية المعلومات وعملائها 
والتي لا يتم فهمها وتطبيقها دانما كما پنبعی. وسيتم مناقشة اتفاقيات مستوى الخدمة ق 
الفصل السابع عشر من هذا الكتاب. 
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إدارة السعة الخاصة بتقديم الخدمة: 

تضمن إدارة السعة في آيتل أن تتماشى سعة البنية التحتية لتقنية المعلومات مع 
احتياجات العمل للحفاظ على المستوى المطلوب من تقديم الخدمات ضمن تكلفة معقولة 
ومنطقية من خلال مستويات مناسبة للسعة. فمن خلال جمع البيانات المتعلقة بسعة 
الأعمال والسعة التقنية: ينبغي أن تسفر هذه العملية من عمليات آيتل عن خطة مناسبة 
للسعة يتم من خلالها تقديم متطلبات خاصة بسعة تقنية المعلومات مكن تبرير تكلفتها 
بالنسبة للمؤسسة. وبالإضافة إلى الهدف الأساسي لفهم المتطلبات الخاصة بسعة تقنية 
المعلومات في المؤسسة وتقديم مقابل لها (متطلبات - مميزات مقابل متطلبات)ء فإن إدارة 
السعة هي المسؤولة عن تقييم المزايا المحتملة للتقنيات الجديدة التي يمكن أن تكون لدى 
اطؤسسة. 

تتكون عملية إدارة السعة في آيتل من ثلاث عمليات فرعية هي: إدارة سعة الأعمال 
الأجل لضمان أخذ المتطلبات المستقبلية للأعمال بعين الاعتبار ومن ثم التخطيط لها 
وتنفيذها حسب الحاجة. أما إدارة سعة الخدمة فهى المسؤولة عن التأكد من أن أداء 
جميع خدمات تقنية المعلومات الحالية يتفق مع اطعايير ا محددة في اتفاقيات مستوى 
الخدمة (85.آ5). وأخيراء إدارة سعة الموارد. فهي تركز بصورة أكبر على الناحية التقنية 
وهي المسئولة عن إدارة المكونات الفردية الموجودة في البنية التحتية لتقنية المعلومات. 
تشتمل المدخلات المتعددة لتلك العمليات الفرعية الخاصة بإدارة السعة على ما يلي: 
« اتفاقيات مستوى الخدمة والخروقات الخاصة بها (وهذا ما سيتم تناوله بمزيد من 

ا مناقشةه والتفصيل ف الفصل السابع عشر من هذا الكتاب). 

ه خطط وإستراتيجيات العمل. 
« الجداول الزمنية التشغيلية: إلى جانب إجراء تغييرات على الجدول. 
ه قضايا تطوير التطبيقات. 
٠.‏ القيود ا مفروضة عان التقنيه وعمليات الاستحواذ. 


VA‏ دليل المسئول التنفيذي لحوكمة تقنية المعلومات 


إرشادات إطار آيتيل وإدارة خدمات تقنية المعلومات 


٠‏ حوادث ومشاكل تقنية المعلومات. 
ه الميزانيات والخطط اطالية 

ونظرا لهذ المدخلات المتعددة: فإن غملية إدارة السعة تكون غالبا تحت إذارة مدير 
واحد مُعين لإدارة السعةء والذي يجب أن يدير عمليات تقنية المعلومات: ويقوم على تطوير 
وصيانة خطة رسمية لإدارة السعة: وأن يضمن تحديث السجلات الخاصة بالسعة. وبالاضافة 
إلى ذلكء لا بد من إشراك مدير السعة في عمليات تقييم جميع التغيرا ت لبحدد مدى تأثير 
التغيرات الجديدة على السعة والأداء. ولا بذ من إحراءعملية اى من السعة أثناء اقتراح 
التعديلات وبعد تنفيذها. كما يجب أن تولي إدارة السعة اهتماما خاصا بالتأثير التراكمي 
للتغييرات على مدى فترة من الزمن والتي يمكن أن تسبب انخفاضاً في أوقات الاستجابة 
وحدوث مشاكل في عمليات تخزين الملفات وف زيادة الطلب على السعة المستخدمة في 
عمليات المعالجة. وتشتمل المسؤوليات الأخرى المتعلقة بعملية إدارة السعة على بعض مهام 
مدير نظم الشبكات ومدير تطوير التطبيقات. فهم ال مسؤولون عن ترجمة متطلبات العمل 
إلى السعة اللازمة لتكون قادرة على تلبية هذه الاحتياجات وتحسين أداء تقنية المعلوفات. 

إن التطبيق الفعال لعملية إدارة السعة من شأنه أن يقدم لإدارة تقنية المعلومات 
فوائد, كتقديم ملخص عن السطة اة سالا والقدرة عان 'الفقطيظ ااي 
لحجم السعة المطلوبة مستقبلا. ينبغي أن تكون الإدارة الفعالة للسعة قادرة على تقدير 
أثر التطبيقات أو التعديلات الجديدة على السعةء كما يجب عليها أن تقوم بتقليل التكاليف 
التي تتماشى مع متطلبات عمليات التشغيل في المؤسسة. إن التخطيط السليم للسعة يمكن 
أن يقلل بشكل كبير من التكلفة الإجمالية الناجمة عن اقتناء نظام تقنية المعلومات. فعلى 
الرغم من أن التخطيط الرسمي للسعة قد يتطلب الكثير من الوقت واموارد البشرية 
المتمثلة في فرق عمل داخلية وخارجية» وبرمجيات وأجهزة وأدوات» إلا أن الخسائر التي 
يمكن تكبدها جراء غياب التخطيط للسعة قد تكون كبيرة جدا. إن عدم إتاحة البيئة 
الإنتاجية للمستخدمين الذين يعملون في إدارات الأعمال الحساسة: والمبالغ الطائلة التي 
تنفق على معدات الشبكات أو الخدمات» والتكاليف المترتبة على عمليات ترقية النظم 
الموجوذة حاليا بالفعل ف البيئة الإنتاجية. كل ذلك قد يكون أكثر.من مبرر للتكلفة الخاصة 
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بعملية التخطيط للسعة. ولأن هذه العملية تعد من العمليات الهامة في آيتل؛ لذا ينبغي 
هنا أن تقوم إدارة تقنية المعلومات بأخذ عمليات إدارة السعة ال معمول بها والمتعارف عليها 
قي الاعتبار عند قيامها بمراجعة عمليات حوكمة تقنية المعلومات. 

يتحدث الفصل التاسع من هذا الكتاب عن المزيد من القضايا المتعلقة بإدارة سعة 
تقنية المعلومات من منظور الحوسية السحابية 1118)نام012) 10110ن) والافتراضية 
7 مم فالحوسبة السحابية Computing‏ 010110) تشير إلى تلك الموارد الهائلة 
لتقنية المعلومات المتعددة الخوادم التي يتم توفيرها من قبل عدد متزايد من كبار الباعة. 
فنحن الآن في عصر تتوفر فيه الموارد التخزينية بأنمان رخيصة أكثر من أي وقت مغىء 
لذافاننا نتحدث هتا عن كمية غم محدودة قرفا من اواز التخوينة الخاصة عقدية 
المعلومات. أما الافتراضية ۷1۲۲٠۵1124110١‏ فهي من الموضوعات الأخرى التي لها علاقة 
بإدارة السعة وحوكمة تقنية المعلومات التي تم الحديث عنها ومناقشتها في الفصل التاسع 
من هذا الكتاب؛ حيث يشير مصطلح الافتراضية إلى الأدوات البرمجية التي يمكن من خلالها 
مشاركة أو تقاسم موارد تقنية المعلومات بطريقة لا تجعلنا نشعر بالقلق إزاء القيود 
المفروضة على الموارد في أي جهاز. وقد أسهمت هذه التقنيات في تغيير العديد من الطرق 
والأساليب المستخدمة: ومع ذلك فإن مفهوم إدارة السعة فى آيتل ما زال يعد واحدا من 
المفاهيم الهامة في مجال حوكمة تقنية المعلومات. 


إدارة الإتاحة للخدمات المقدمة: 

ازداد اعتماد المؤسسات هذه الأيام على خدمات تقنية ا لمعلومات المقدمة إليها والمتاحة 
سبعة أيام في الأسبوع و٤٠‏ ساعة في اليوم. في كثير من الحالات نرى أنه عندما تكون تلك 
الخدمات الخاصة فة اللعزومات غر مناسة: كان الأعمال كا تنوف بولذلك فان 
قيام إدارة تقنية المعلومات بإدارة ومراقبة مدى إتاحة الخدمات التي تقدمها تعد من 
الأمور الحيوية. ويمكن تحقيق ذلك من خلال تحديد احتياجات الأعمال المتعلقة موضوع 
إتاحة خدمات تقنية المعلومات» ومن ثم مقارنتها مع الإمكانيات المتوفرة لدى إدارة تقنية 
المعلومات. 
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تعتمد أفضل الممارسات الخاصة بإدارة الإتاحة في آيتل على عدة مدخلات» تتضمن 
المتطلبات المتعلقة بإتاحة الأعمال؛ معلومات عن الموثوقية أو الاعتماديةء والصيانةء والتعافي, 
وإمكانية تقديم الخدمة؛ ومعلومات من العمليات الأخرى والحوادث والمشاكل ومستويات 
الخدمة التي يتم تحقيقها. تتمثل أهداف عملية إدارة إتاحة الخدمات في: 
٠‏ وضع خطة مناسبة ومحدثة لإتاحة الخدمات وصيانتها بحيث تعكس الحاجات الحالية 
والمستقبلية للمؤسسة. 
٠‏ توفير الخدمات والإرشادات التوجيهية لكافة المجالات الأخرى في المؤسسة فيما يخص 
القضايا المتعلقة بإتاحة تقنية المعلومات. 
٠‏ التأكد من أن الإنجازات التي تتعلق بإتاحة الخدمات تلبي الأهداف الموضوعة وزيادة 
وذلك من خلال إدارة أداء الإتاحة بالنسبة للخدمات وامموارد. 
٠‏ المساعدة في تشخيص وحل الحوادث والمشاكل المتعلقة بالإتاحة. 
٠‏ تقييم تأثير كل التغيرات على خطة الإتاحة والأداء والسعة لجميع الخدمات والموارد. 
٠‏ ضمان تطبيق الإجراءات الوقائية في أي مكان تكون فيه تكلفة تلك الإجراءات مبررة. 
وبمكن وصف الأنغطة المتعلقة بإدارة إتاحة الخدمات على أنها عبارة عن إجراءات 
للتخطيط والتحسين والقياس. حيث يتضمن نشاط التخطيط القيام بتحديد متطلبات 
الإتاحة لمعرفة ما إذا كان هناك إمكانية للوفاء بها والكيفية التى مكن من خلالها تطبيق 
الإتاحة المطلوبة. إن عملية إدارة مستوى الخدمة» والتي سيتم تناولها مزيد من التفصيل 
لاحقا في الفصل السابع عشر من هذا الكتاب تعد من العمليات التى تبقى على تواصل 
مستمر بالأعمال والقادرة على تزويد إدارة الإتاحة سعض التوقعات المناسبة بخصوص 
الإتاآحة المطلوبة. قد يكون هناك توقعات غير واقعية في الأعمال بخصوص إتاحة تقنية 
ا لملعلومات دون فهم ما يعنيه هذا من حرث القسمة الحقيقية. فمثلا قد برغب مستخدمو 
الأعمال في توفير إتاحة بنسبة 39,5“ وهم حتى الآن لا يدركون أن تكلفة هذا الأمر ستزيد 
بمقدار خمسة أضعاف تكلفة الإتاحة التي تتوفر بنسبة ۹۸ فقط. وتقع إدارة مثل هذه 
التوقعات على عاتق إدارة مستوى الخدمة وعملية إدارة الإتاحة. 
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الشكل التوضيحي (5-؟) يوضح العلاقة بين الإتاحة والتكاليف. حيث يتضح أن الحفاظ 
على مستوى أساسي منخفض من الإتاحة الخاصة بتشغيل نظم تقنية المعلومات لن يكلف 
الكثيرء في حال كانت تلك الإتاحة هي كل ما ستحصل عليه المؤسسة. ويجب على إدارة تقنية 
المعلومات أن تضع هذه العلاقة في الحسبان عند قيامها بمراجعة الضوابط وتقديم التوصيات. 





تستطيع إدارة تقنية المعلومات أن تقوم بتصميم إما عملية "إتاحة را نازطهانة۸۷" الخدمات 
أو عملية "استرجاع 160161" الخدمات. فعندما لا تحتمل الأعمال بقاء خدمة معينة 
معطلة لأي فترة من الزمنء فستكون إدارة تقنية المعلومات بحاجة إلى تعزيز المرونة في البنية 
التحتية التقنية الخاصة بها وضمان تنفيذ عمليات صيانة وقائية للمحافظة على استمرارية 
عمل الخدمات. وف كثير من الحالات قد يكون بناء "إتاحة اضافية" "extra availability"‏ في 
البنيه التحتيه مهمة باهظة الثمن ولكن يمكن تبريرها باحتياجات العمل. إن عمليه التصميم 
لإتاحة الخدمات هي عبارة عن نهج استباقي لتفادي تعطل خدمات تقنية المعلومات. 

أما إذا كانت الأعمال تستطيع تحمل توقف الخدمات لبعض الوقت» أو عندما لا يكون 
هناك أي مبررات لعمليات تعزيز إضافية في مرونة البنية التحتية التقنيةء فإن وضع تصميم 
مناسب لاسترجاع الخدمات سيكون هو النهج المناسب. وفي هذه الحالة سيتم تصميم 
البنية التحتية بحيث أنه في حال توقف الخدمة ستبدآ عملية الاسترجاع في استعادة هذه 
الخدمة وتشغيلها "في أسرع وقت ممكن". إذ إن وضع تصميم للاسترجاع يعد نهجا إداريا 
للإتاحة يعتمد بشكل كبير على رد الفعل. فعند وقوع أي حادث يجب أن تكون العمليات 
الأخرى في آيتل مثل إدارة الحوادث في موضع التنفيذ للقيام بعملية استرجاع الخدمة 
وتشغيلها بأسرع ما يمكن في حال توقفها أو انقطاعها. 

إن الفائدة الرئيسية من إدارة الإتاحة هو امتلاك عملية منظمة لتقديم الخدمات التي 
يتم توفيرها وفقا لحاجات العملاء المتفق عليها ا الأمر الذي يجب أن يؤدي إلى زيادة 
إتاحة خدمات تقنية المعلومات وزيادة مستوى الرضا لدى العملاء. وهذا يغطي مساحة 
قد تسمح للمدققين على أعمال تقنية اللعلومات بطرح بعض الأسئلة الصعبة على أنها جزء 
من عمليات مراجعه الضوابط العامة لتقنية ال معلومات التي يقومون بها. 
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شكل توضيحي (6-5) 


العلاقة بين الإتاحة والتكاليف في الآيتل 





إدارة أمن واستمرارية نظم المعلومات الخاصة بتقديم الخدمة: 

تمثل إدارة الأمن والاستمرارية عنصرين مستقلين من العناصر الخاصة بأفضل ممارسات 
تقديم الخدمة الموجودة في آيتل. ونظرا لاعتماد الأعمال الآن على تقنية المعلومات أكثر 
من أي وقت مضىء» فإن حجم التأثير الناجم عن عدم إتاحة آي خدمة من خدمات تقنية 
المعلومات قد يزداد بشكل كبير. وفي كل مرة يتم فيها انخفاض مدى إتاحة الخدمات أو 
أداثهاء لا يستطيع عملاء تقنية المعلومات مواصلة تنفيذ أعمالهم بالشكل الطبيعي. وهذا 
الاتجاه نحو الاعتماد الكبير على دعم تقنية المعلومات وخدماتها سوف يستمر وسيؤثر 
بشكل مباشر ومتزايد على العملاء والمديرين وصناع القرار. وتؤكد إدارة الاستمرارية في 
آيتل أنه يجب تقدير مدى تأثير الفقد الكلي أو الجزئي لخدمات تقنية ال معلومات» كما 
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يجب عليها أيضاً أن تقوم بوضع خطط استمرارية لضمان أن الأعمال؛ والبنية التحتية لتقنية 
العلومات الداعمة لهاء سوف تكون قادرة دائما على الاستمرار في العمل. 

يدعو ايتل إلى تطوير إستراتيجية مناسبة تحتوي على شيء من التوازن ال مثالي بين الخيارات 
المتعلقة بالحد من المخاطر وخيارات استرجاع الخدمات. وهذه الإستراتيجيات تشبه إلى حد 
ما بعض الإستراتيجيات الخاصة باستمرارية الأعمال والتعافي من الكوارث المذكورة في الفصل 
العاشر من هذا الكتاب. وباستخدام الأسالبب اللذكورة هناك فإنه يجب على المنظمة أن 
تقوم بتطبيق مجموعة فعالة من العمليات الخاصة باستمرارية الخدمة. 

أما إدارة أمن تقنية المعلومات فهي مجموعة أخرى من أفضل الممارسات في آيتل. فايتل 
يقر بضرورة توفر عمليات لأمن ا معلومات ضمن إطار حوكمة الشركات» وذلك لوضع توجه 
إستراتيجي للأنشطة الأمنية وضمان تنفيذ هذه الأنشطة. ويأتي أمن المعلومات كثيرا بعد 
التركيز على حوكمة تقنية المعلومات. حيث يؤكد آيتل أن أمن المعلومات أكثر من مجرد 
فة تخسن فة ااك فهو أيضا قضية إدارية. إن أهداف أمن تقنية ا معلومات هي 
حماية مصالح أولئك الذين يعتمدون على المعلومات التي تقدمها تقنية المعلومات وحماية 
النظم والاتصالات المستخدمة لإيصال تلك المعلومات. ويتم تحقيق أمن المعلومات في آيتل 
من خلال الأهداف التالية: 
٠‏ هدف الإتاحة: أن تكون المعلومات متاحة ويمكن استخدامها عند الطلب» وآن النظم التي 

تتيحها يمكنها أن تقاوم وبشكل مناسب الهجمات وتتعافى من الأعطال أو تمنع حدوثها. 
٠‏ هدف السرية: يتم مراقبة ا لمعلومات أو الكشف عنها فقط لأولئك الذين لديهم الحق 
في الاطلاع عليها. 

٠‏ هدف النزاهة أو السلامة: أن تكون المعلومات كاملة ودقيقة ومحمية ضد التعديل غير المصرح به. 


٠‏ هدف الموثوقية وعدم التنصل: أن تكون إجراءات الأعمال وكذلك تبادل المعلومات بين 
المؤسسات أو مع الشركاء يمكن الوثوق بها. 
وتستمر إدارة أمن المعلومات في آيتل في تحديد أفضل ا ممارسات للوصول إلى نظام 
كامل لإدارة أمن المعلومات. فأفضل الممارسات الهامة عدا والعمليات الفعالة لإدارة أمن 
اللخلوهات تشكل عتهرا هاما من عاضر الحوكمة الفعالة فة المعلومات. 
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عمليات إدارة انتقال الخدمة في آيتل: 

كما يعلم مديرو ومحترفو تقنية المعلومات» أن العمليات التشغيلية الخاصة بتقنية 
المعلومات تكون دائماً عرضة للتغيرات الدورية التي تتم على المعدات والبرمجيات. وقد تنطوي 
هذه العمليات على تخطيط الانتقال السليم لإدخال مكونات جديدة: واختبارها والتحقق من 
صحتها قبل أي إطلاق لها في البيئة الإنتاجية: وكذلك إدارة التهيئة لمراقبة المخزونء والعلاقات 
بين أجهزة وخدمات تقنية المعلومات. وقد قام آيتل بتجميع هذه الممارسات تحت ما يطلق 
عليه اسم إدارة الانتقال» وهو المجال الذي مكن أن يسلط الضوء على بعض مخاطر الرقابة 
الداخلية المؤثرة بالنسبة للعمليات التشغيلية للبنية التحتية لتقنية المعلومات. فمن الممكن 
على سبيل المثال أن يتم تثبيت أحد تطبيقات تقنية المعلومات بضوابط داخلية غير مرنة. 
فضلا عن أنه» من الممكن أن تتسبب التغيرات اللاحقة غير المضرح بها على التطبيق نفسه أو 
التهيئة غير السليمة للمعدات الملحقة به بظهور مخاوف رقابية جديدة. 


إدارة التغيير الخاصة بانتقال الخدمة: 

ينتج غالبا عن غملية إدارة المشاكل التي تم الحديث عنها كجزء من العمليات 
التشغيلية للخدمات, الحاجة لإجراء بعض التغييرات أو التعديلات ف تقنية ال معلومات» 
كالتغيرات التي تطرأ على البرنامج أو التعديلات الطارئة على العملية أو الإجراء لتحسين 
الخدمات والحد من التكاليف. إن الهدف من إدارة التغيير في آيتل هو استخدام أساليب 
تأثير تلك التغيرات في جودة وأداء الخدمات والعمليات يوما بعد يوم. وتشمل عمليات 

« معدات وبرمجيات نظم تقنية المعلومات. 

٠‏ مغدات الاتصالات والبرمجيات. 

٠‏ جميع برمجيات التطبيقات. 


0 جم الوتثائق والإجراءات املتعلقة بعمليات تشضل وعم وصبانة النظم الحية. 
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الفصل السادس 


وتعد النقطة الأخيرة مصدر قلق واهتمام بشكل خاص: إذ يتم غالبا تغيير أجهزة 
وبرمجيات تقنية المعلومات مع عدم الاهتمام بشكل كاف بتغيير الوثائق والبرامج الداعمة 
المرتبطة بتلك الأجهزة والبرمجيات. فالتغيرات التي تحدث على أي عنصر من عناصر 
تقنية المعلومات (مثل برمجيات التطبيقات أو الوثائق أو الإجراءات) يجب أن تخضع 
لعملية رسمية خاصة بإدارة التغيير. ومع ذلك تكون عملية إدارة التغيير غالبا عشوائية 
حتى في أحسن أحوالها. ومن الأمثلة على ذلكء أن تتم التغييرات على التطبيقات دون 
التفكير في آثارها على مجمل البنية التحتية لتقنية المعلومات» أو بروز تغيرات أخرى ناجمة 
عن الإصلاحات التي تقوم بها إدارة الحوادثء أو طلبات الإدارة العليا المتعلقة بإجراء 
بعض التغيرات اللازمة لحل بعض المشاكل قصيرة الأجل أو الفورية. لذا ستعمل العمليات 
الرسمية لإدارة التغييرء والتي تقوم بمراجعة واعتماد التغيرات المقترحة. بشكل مستمر على 
تحسين عمليات تقنية المعلومات وعمليات الرقابة الداخلية في المؤسسة. وينبغي الربط بين 
عملية إدارة التغيير ا موجودة في آيتل وإدارة التهيئة» التي تم الحديث عنها سابقاء بشكل 
وثبقء وذلك لضمان إتاحة المعلومات الخاصة بالآثار االمحتملة أو المترتبة على التغييرات 
المقترحةء والكشف عن أي تأثيرات محتملة وعرضها بشكل مناسب. 

يجب أن يكون لعمليات إدارة التغيير رؤية عالية وقنوات اتصال مفتوحة من أجل 
تعزيز الانتقال السلس عند حدوث التغييرات. ولتحسين هذه العملية»ء قامت العديد من 
إدارات تقنية المعلومات بتشكيل مجلس استشاري رسمي للتغيير 405150157 ةنا 
(048) 80314 مكون من مزيج من الأشخاص العاملين في إدارات تقنية المعلومات وإدارات 
المستقدمي الأفرى اللؤسودة حاقل القسسة فووا جميعا اة اترات اة 
عليها. فا مجلس الاستشاري للتغيير(88)) هو كيان موجود للموافقة على التغييرات 
والمساعدة في تقييمها وتحديد أولوياتها. ويجب أن يستد للمجلس مسؤولية التأكد من أن 
جميع التغييرات قد تم تقييمها بصورة كافية من منظور الأعمال وال منظور التقني. ولتحقية 
هذا المزيج» يجب أن يكون المجلس الاستشاري للتغيير 047 مكونا من فريق يعي بشكل 
جيد احتياجات أعمال العملاء إلى جانب الوظائف التقنية الخاصة بالدعم والتطوير. يرأس 
المجلس الاستشاري للتغيير (0487) مدير مسئول عن عمليات التغيير» ويجب أن يضم المجلس 
كلا من غملاء تقنية المعلومات» ومظوري التطبيقات. ومختلف الخبراء/ الاستشاريين الفنيين 


1۸٦‏ دليل المسئول التنفيذي لحوكمة تقنية ا معلومات 


إذا اقتضت الحاجة ذلكء وممثلين عن المقاولين أو الأطراف الخارجية في حال كان هناك 
استعانة بمصادر خارجية. وعلى الرغم من أنه يجب على هذ المجلس أن يعقد اجتماعات 
دورية منتظمة بمراجعة وجدولة التغييرات المقترحة: فإنه لا ينبغى أن يكون بمثابة عائق أمام 
العمليات التشغيلية لتقنة ال معلومات: بل لا بد من وحجود هذا ال مجلس لتوفير جدولة منظمة 
وإدخال جميع أنواع التغييرات على البنية التحتية لتقنية المعلومات. 

تحتاج العمليات الشاملة الفعالة لإدارة الخدمات إلى القدرة على تغيير الأمور بطريقة 
منظمة: لتفادي الوقوع في أخطاء واتخاذ قرارات خاطئة. إن العملية الفعالة لإدارة التغيير 
أمر لا غنى عنه بالنسبة لبنية تحتية فعالة لتقنية المعلومات. وينبغي أن تشمل ما يلي: 
٠‏ تحسين اللواءمة والانسجام بين خدمات تقنية المعلومات ومتطلبات العمل. 
٠‏ الشفافية المتزايدة ووضوح الرؤية والتواصل بشأن التغييرات لكل من فريق دعم الأعمال 

والخدمات. 
٠‏ تحسين تقييمات المخاطر. 
٠‏ تقليل التأثير السلبي للتغيرات على جودة الخدمات. 
٠‏ تقييم أفضل لتكاليف التغييرات المقترحة قبل أن يتم تكبد تلك التكاليف. 
ه زيادة إنتاجية عملاء تقنية المعلومات من خلال تقليل أوقات الانقطاع وخدمات عالية 
الجودة. 

٠‏ زيادة قدرة تقنية المعلومات لاستيعاب حجم شير من التغييرات. 

إن عملية إدارة التغيير في آيتل تعد عنصراً هاما من عناضر البنية التحتية لتقنية 
المعلومات» وينبغي أن ترتبط وتتماشى بشكل وثيق مع العمليات الرئيسية لإدارة التهيئة 
والسعة والإطلاق ف البنية التحتية لتقنية المعلومات. وهى أيضا عنصر هام من عناصر 
الحوكمة الفعالة لتقنية المعلومات. 
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إدارة التهرئة الخاصة بانتقال الخدمة: 

مهما كان حجمها النسبي» فإن الإداراث الخاصة بتشغيل تقنية المعلومات تعتبر معقدة, 
وذلك في ظل وجود العديد من الأنواع والإصدارات الخاصة بالمكونات امادية والبرمجية. هذا 
بالإضافة إلى الروابط ا مستخدمة للاتصال بمكونات الحوسبة السحابية» التي يجب أن تعمل 
جميعها مها بطريقة منظمة وفحكمة الإدارة. ومن اللؤكد أن هذا صحيح بالنسبة للشركة 
التي تعمل من خلال نظم أجهزة العف المركزية 7312113535 التقليدية: أو"مزارع" 
الخوادم "۲۷۲۶م 06 وصإه۴"» وعدد كبير من أجهزة التخزين ومعدات الاتصالات» والأمر 
نفسه يسري على وحدة التشغيل الصغيرة لنظم تقنية المعلومات. تعد الوظيفة الرسمية 
لإدارة التهيئة عملية هامة لتقديم الخدمات التي تدعم التعريف والتسجيل والإبلاغ عن 
مكونات تقنية المعلومات وإصداراتها ومكوناتها التأسيسية وعلاقاتها. فالعناصر التى يجب 
أن تخضع لرقابة إدارة التهيئة تشمل الأجهزة والبرامج والوثائق ا مرتبطة بها. هناك اختلاق 
بين مفهوم إدارة التهيئة والمفهوم الخاص بعملية المحاسبة الإهلاكية الخاصة بإدارة الأصولء 
على الرغم من وجود علاقة بينهما. فنظم إدارة الأصول تحتفظ بتفاصيل عن معدات 
تقنبة اللعلومات التي تزيد قيمتها عن حد معينء ووحدة العمل وال مواقع التي توجد بها. 
في حين تحتفظ إدارة التهيئة أيضا بمعلومات عن العلاقات الموجودة بين الأصول» والتي لا 
تحتفظ بها إدارة الأصول عادة. فبعض المؤسسات تبدأً بإدارة الأصول ومن ثم تنتقل إلى 
إدارة التهيتة. 

إن النشاط الأساسي والمهم لحوكمة تقنية ا معلومات فيما يخص إدارة التهيئة هو تحديد 
المكونات المستقلة المختلفة للعمليات التشغيلية لتقنية ال معلومات» والتي يطلق عليها اسم 
عناصر التهيئة (15)).: ومن ثم تحديد البيانات الرئيسية الداعمة لهذه العناصر (015)؛ 
متضمنا ذلك "أصحابها". وتحديد البيانات: وأرقام الإصدارات وكذلك العلاقات المتبادلة 
للنظم. ولا بد من الحصول على هذه البيانات وتنظيمها وحفظها في قاعدة بيانات تعرف 
باسم قاعدة بيانات إدارة التهينة (11[108)) .Configuration Management Database‏ 
ويجب على الفريق المسؤول عن إدارة التهيئة أن يقوم باختيار وتعريف هياكل التهيئة 
الخاصة يعناص تهيتة البنية التحتية بأكملهاء متضمتا ذلك تحديد العلاقاث الموجودة بين 
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إرشادات إطار أيتيل وإدارة خدمات تقنية المعلومات 


جميع عناصر التهيئة (15©) والمكونات المتصلة في التهيئة الخاصة بمجمل البنية التحتية 
لتقنية المعلومات. وبالانتقال إلى ما هو أبعد من مجرد عملية إدخال البيانات في قاعدة 
بيانات إدارة التهيئة: فإنه يجب أن تضمن العملية أن عناصر التهيئة المصرح بها فقط 
هي التي يتم قبولهاء كما يجب أن تضمن أيضا عدم إضافة أي عنصر من عناصر التهيئة 
أو تعديلتة أو استبداله أو إزالته دون أن يكون هناك طلب سليم واضح لإجراء التغيير 
ومواصفات محدتة. 

يجب علينا التفكير في أهمية عملية إدارة التهيئة من حيث وجود التطبيقات الخاصة 
بتقنية المعلومات في إدارة الأعمال التقليدية. فربما يكون لدى كل عضو من أعضاء الطاقم 
الوظيفي هاتف ذي أو جهاز حاسب محمولء وفي حال عدم وجود إصدارات متناسقة من 
البرامج الموضوعة على كل جهاز من هذه الأجهزةء فمن الممكن أن تكون هناك صعوبات 
في عملية اتصال تلك النظم بعضها مع بعض. هذا يفسر أهمية إدارة التهيئة. فمن ال مهم 
حقاً أن يكون لديك فهم لمختلف الإصدارات أو حتى الأنواع المتعددة للبرمجيات والمعدات 
في إدارات التشغيل الكبيرة لتقنية ا معلومات. 

تتضمن عملية إدارة التهيئة عناصر تحكم مهمة بالنسبة طمجمل عملية حوكمة تقنية 
المعلومات الفعالة. لذا يجب أن يحتفظ فريق تقنية المعلومات والمسؤول عن عملية 
إدارة التهيئة بسجلات عن حالة كل عنصر من عناصر التهيئة (01)) وتتبع حالته عندما 
تتغير من حالة لأخرىء فعلى سبيل المثالء قد تتغير حالة العنصر من مرحلة التطوير 
إلى مرحلة الاختبار» ومن ثم إلى مرحلة الإنتاجيةء ومن ثم إلى مرحلة الإيقاف أو سحبه 
في نهاية الأمر. تعد قاعدة بيانات إدارة التهيئة مستودعاً لعناصر التهيئةء وليس من 
الضروري أن تكون قاعدة البيانات عبارة عن تطبيق معقد ومتخصص. فمغلا كن لأى 
مؤسسة أن تقوم بإنشاء قاعدة بيانات بسيطة لإدارة التهيئة 28 CM‏ فقط باستخدام 
جداول البيانات أو باستخدام نظم قواعد البيانات المحلية. وف ظل وجود البنية التحتية 
الكبيرة والمعقدة لتقنية المعلومات اليوم» فإن إدارة التهيئة تتطلب غالبا استخدام 
المكتبات الطبيعية والإلكترونية جنبا إلى جنب مع قاعدة بيانات إدارة النهيئة للاحتفاظ 
بنسخ محددة لجميع البرامج والوثائق الداعمة. وينبغي أن تستند قاعدة بيانات إدارة 
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التهيئة إلى تقنية قاعدة البيانات التي توفر وسائل استعلام مرنة وقوية وتحدد العلاقات 
بين جميع 5 النظام. 
ترتبط عملية إدارة التهيئة مباشرة بعمليات إدارة تطوير واختبار وتغيير وإطلاق النظم 
للجمع بين المنتجات الجديدة والمحدثة. وبالإضافة إلى ذلك فإن قاعدة بيانات إدارة 
التهيتة C58‏ ممكن استخدامها من قبل عملية إدارة مستوى الخدمة للاحتفاظ يتفاضيل 
الخدمات وربط هذه الخدمات مع مكونات تقنية اللعلومات التابعة لها. كما هكن أيضا أن 
تقد قاعدة بيانات إدارة التهيئة لتخزين تفاصيل ال مخزون الخاصة بعناصر التهيئة 15[©, 
مشل الور والتكلفة. وتاريخ الشراءء وتاريخ تجديد الترخيص. كما أن هناك ميزة إضافية 
تتمثل في استخدام قاعدة بيانات إدارة التهيئة لتغطية الجوانب القانونية ال مرتبطة بالحفاظ 
على التراخيص والعقود. 


عمليات تشغيل الخدمة في أيتل: 

لقد بدأت ادا ممارسات آيتل الموصوفة في هذا الفصل بأهمية وضع إستراتيجيات 
للخدمة» والتي تتضمن السياسات الرئيسية لتقنية ا معلومات والمجالات ذات المستوى 
العالي كالإدارة المالية لتقنية المعلومات. أما بالنسبة للعملية الاعتيادية الخاصة بإطلاق 
موارد تقنية المعلومات: فإن المجموعة التالية من أفضل الممارسات تغطي تصميم الخدمة, 
وهي العمليات التي تتناول سعة وإتاحة تقنية المعلومات» وكذلك إدارة مستوى الخدمة 
لتتفق مع مستخدمي خدمات تقنية ال معلومات فيما يتعلق بالخدمات التي سيتم تقدهها. 
ويطلق على هذه العمليات الثلاث الأخيرة في آيتل اسم عمليات تشغيل الخدمة» وهي 
العملية التي 3 تتيح لعملاء الأعمال رؤية جودة خدمات تقنية المعلومات التي يتم تقديممها. 

تتضمن العمليات التشغيلية للخدمات القيمة اليومية للخدمات التي ينبغي تقدهها 
بواسطة نظم وعمليات تقنية نقنية شوت إن الغرض من عملية تشغيل الخدمة في آيتل هو 
المساعدة في تنسيق وتقديم خدمات تقنية المعلومات للعملاء. كان هذا هو مفهوم القيمة 
الذي كان غالا مققوة1 في الأيام الأولى لعمليات تشغيل ثقنية اللعلومات: إلا أن أفضل 
الممارسات في آيتل قد قامت بتقريب هذه المفاهيم المتعلقة باحتياجات العمل والإدارة. 
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تحدد عمليات تشغيل الخدمة في ايتل عمليات منفصلة لتشغيل الخدمة؛ وذلك فيما 
يخص إدارة الأحداث 15 والحوادث11106115 > حيث يتم تعريف الأحداث على أنها 
أي واقعة يمكن اكتشافها ويكون لها تأثير في إدارة البنية التحتية لتقنية المعلومات أو 
تقديم الخدمات المتعلقة بتقنية المعلومات. وعلى الرغم من أن آيتل يحدد العديد من 
أوجه الشبه بين ما يسمى الأحداث والحوادث في آيتل إلا أن نقاشنا هنا سوف يركز على 
إدارة الحوادث (الأعطال)ء ذلك أن التنفيذ الفعال لهذه العمليات سوف بحسن من مجمل 
عمليات التشغيل الخاصة بحوكمة تقنية المعلومات. 


إدارة الأحداث والحوادث الخاصة بتشغيل الخدمة: 

تتضمن عمليات إدارة الحوادث جميع الأنشطة اللازمة لاستعادة خدمات تقنية 
المعلومات بعد انقطاعها. يعرف آيتل الانقطاع أو العطل على أنه أي نوع من أنواع المشاكل 
التي قد تحرم مستخدم تقنية المعلومات من الحصول على الخدمات المناسبة ا متوقعة» سواء 
كانت توقفا لكامل النظام آم عدم قدرة المستخدم على الوصول إلى تطبيق ما لأي سبب من 
الأسباب الكثيرة جداء أو عدم نجاح عملية الدخول بسبب خطأ مطبعي في كتابة كلمة المرور 
ناجم عن مشكلة "زلات الأصابع 8108615 126" أو أي مشكلة أخرى. ويطلق على المشكلة 
امب عنها اسم الحادتة؛. وهي نوع من أنواع الانحراف عن عمليات التشغيل القياسية. 
وعلى الرغم من أن العديد من إدارات تشغيل تقنية المعلومات تمتلك إدارة تسمى مكتب 
المساعدة أو مجموعة دعم العملاء فإن هذه الإدارة العامة يشار إليها هنا باسم مكتب 
الخدمة. فمكتب الخدمة يكون عادة هو صاحب عملي ة إدارة الحوادث» على الرغم من 
أن كل مجموعات دعم الخدمات عبر تقنية المعلومات قد يكون لها دور في إدارة الحوادث. 

إن الفدف هن العمليات الفحالة لإذارة الوادت هو اسععادة العفليات التشغيلية 
الاعتيادية في أسرع وقت ممكن وبطريقة فعالة من حيث التكلفة وبأقل تأثير ممكنء سواء 
كان التأثير في الأعمال بكاملها آم في المستخدمين. ولا ينبغي أن يكون ما تعنيه "السرعة" 
هنا موضعاً للتأويل أو التفسير. حيث يدعو آيتل إلى تحديد المعايير الخاصة بالإطار الزمني 
لاستعادة الخدمات في اتفاقيات مستوى الخدمة التي تحدثنا عنها في الفصل السابع عر 


(*) هي مشكلة تقع نتيجة مدخلات خاطئة من خلال لوحة مفاثيح الحاسب الآلي (المترجم). 
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من هذا الكتاب. إن الاتفاقيات الفعالة المستوى الخدمات 51.45 هي إحدى المكونات 
الهامة في البنية التحتية لتقنية ال معلومات» فوجودها مهم بالنسبة للممارسات الخاصة 
بحوكمة تقنية المعلومات. فالعنصر الأول في عملية إدارة الحوادث في آيتل هو اكتشاف 
الحادثة وتوثيقها من قبل مكتب الخدمة: كونه النقطة الوحيدة للاتصال. ويمكن أن تشمل 
هذه الحوادث مسائل مثل أن يقوم المستخدم بالاتصال بسبب وجود مشاكل معينة في 
التطبيق أو أن تقوم العمليات التشغيلية لتقنية المعلومات بإعلام مكتب الخدمة بإحدى 
المشاكل المتعلقة معالجة التطبيق. 

بمجرد استلام الحادثة» يجب أن يقوم مكتب الخدمة بتصنيفها من حيث أولويتها 
priority‏ وأثرد ها امن وإلحاحيتها :(©1868نا. إذ إن تحديد أولويات للحوادث ال مبلغ 
ھا تعد ؤاهدا من أكثر القضايا الهامة في إدارة حوادث تقنية ا معلومات. فكل شخص يبلغ 
عن حادثة يعتقد بأنها الأهم على الإطلاقء لذلك فوحدة إدارة الحوادث لديها مهمة صعبة 
تتمثل في تحديد الأولوية النسسة للحادث اللا عنه وأهميتة وتأثيره في العمل. الشكل 
التوضيحي (0-3) يلخص دورة الحياة لأحد حوادث تقنية المعلومات ابتداءً من الاتصال 
الأولي وصولاً إلى الحل والإغلاق. والنقطة الأساسية هنا هي أن نفهم أفضل الممارسات 
الموصض بها والخاصة كاف القدمة وأن نيس عن الاففاقات الرسمة سى الخدمات» 
على أنها جزء من عملية إدارة مستوى الخدمة» وذلك لتحديد أولويات الحوادث التي 
تحتاج إلى حلء والجهود المبذولة في حلهاء والتعافي من الحوادث. يجب أن تعتمد اتفاقيات 
مستوى الخدمة على مدى تأثير أو مدى حساسية الحادث على وحدة الأعمال ل التي قامت 
بالتبليغ عنه أو على المؤسسة بأكملها. فيجب على سبيل المثال أن تقوم إدارة الحوادث 
بتقدير عدد المستخدمين المتضررين جراء العطل المبلغ عنه والخاص بإحدى المعدات أو 
الأجهزة المادية. وبالطريقة نفسهاء فإن الإبلاغ عن مشكلة تتعلق بعملية الإقفال المحاسبي 
في نهاية الشهر يجب أن تحدد له درجة أهمية أعلى من الإبلاغ عن مشكلة تتعلق بتطبيق 
يقوم بإصدار أوامر الشراء. 


شكل توضيحي (0-5) 


دورة حياة إدارة الحوادث في الآيتل 





أضف إلى ذلك» أنه ينبغي لفت الانتباه إلى إلحاحية الحادث المبلغ عنه. حيث تشير 
الال اة إل الم عة اللازمة لحال اة لها تأقر معت واا تن 5اا عل الوادت 
الكبيرة الأثر بشكل فوري أو افتراضي. في الغالب يكون الإبلاغ عن الحوادث التي تفيد 
بأن مجموعة كبيرة من المستخدمين لا يستطيعون العمل إطلاقا جراء بعض الانقطاعات في 
الخدمات تكون له درجة إلحاحية أكبر من الإبلاغ الذي يقوم به أحد كبار المديرين لطلب 
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تغيير وظيفة تشغيلية معينة. لذا يجب على فريق إدارة الحوادث التحقيق ق الحوادث 
المبلغ عنها في أقرب وقت ممكن لتحديد مداها وتأثيرها. وربما يدل إخفاق أحد المكونات 
الذي يتم التبليغ عنه على أن هذا الجهاز خارج الخدمة أو أنه متوقف عن العمل. ويكون 
هذا النوع غالا سن الحوافة غر معقد كا E‏ إصلاحه بسهولة. في حين قد 
يكون فشل الاتصالات» الذي رها يؤثر في العديد من وحدات الأعمال الدولية ومن ثم رها 
يؤخر الإقفال المالي الشهري» أكبر بكثير من حيث الحجم والنطاق. 

وبمجرد تسجيل الحادث» يجب أن تبدأ عملية التحقيق والتشخيص. فإن م يتمكن 
مكتب الخدمة من حل الحادثء فإنه يجب أن يُحيله إلى مستويات أخرى من الدعم الفني 
الخاص بتقنية المعلومات ليقوموا بحلها. وعلى أي حال» ينبغي على جميع الأطراف التي 
تعمل على الحادث الاحتفاظ بالسجلات المتعلقة بالإجراءات التي يقومون بهاء وذلك من 
خلال التعديل على ملف مشترك خاص بتسجيل الحوادث. إذ ممكن حل بعض الحوادث من 
خلال عملية الإصلاح السريع التي يقوم بها مكتب الخدمة» والبعض الآخر يكون من خلال 
قرارات أكثر رسمية» أما في حالة المشاكل الأكثر أهمية. فيكون الحل من خلال اتباع الحلول 
البديلة لإعادة الأمور إلى نصابها من خلال عملية جزئية والمطالبة بتقديم طلب رسمي 
Request For Change (RFC)‏ لتغيير النظم أو البائع أو أي شيء نحتاجه إلى إصلاح 
مثل هذه المشاكل ذات الأهمية الكبيرة. وعند وقوع آي حادث. لا بد من تنظيم الجهود 
الإصلاحية المبذولة لحل المشكلة وتنسيقها مع وحدة إدارة الحوادث المالكة للمسألة إلى أن 
يتم إيجاد الحل. ولا بد من الاحتفاظ بالوثائق السليمة للقيام بتتبع الحادث إلى أن يتم 
حله. وقد يتم إغلاق الحادث رسميا بمجرد أن يتم إصلاح الأمور. أو إذا لم يحل بسهولة 
فإن الحادث يجب أن رر إلى الوحدة المختصة بعملية إدارة المشاكل كما سنوضح لاحقا. 

ترتبط جميع عمليات آيتل إلى حد ما بعضها مع بعضء ولكن في العديد من الحالات تمثل 
إدارة الحوادث خط الدعم الأول بين مستخدمي أو عملاء خدمات تقنية المعلومات وإدارة 
تقنية ا معلومات نفسها. لذا يجب أن تكون إدارة الحوادث أكثر تنظيما من "مكاتب المساعدة" 
التي كانت موجودة في السابق عندما كان المستخدمون الذين يقومون بالتبليغ عن المشاكل 
لا يحصلون في الغالب على المساعدة الكافية والتي ريما لا تتجاوز القيام بإعادة تعيين كلمة 
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المرور. إن إدارة الحوادث هي نقطة الاتصال الأولى بين العملاء - المستخدمين - وإدارة تقنية 
المعلومات بشكل عام. تنشأ الحوادثء نتيجة الأعطال أو الأخطاء في البنية التحتية لتقنية 
المعلومات» والتي تؤدي إلى انحرافات حقيقية أو محتملة في العمليات التشغيلية المخطط لها 
للخدمات. في بعض الأحيان رها يكون سبب وقوع هذه الحوادث واضحاً ويمكن معالجته أو 
إصلاحة دون الحاجة إلى مزيد من التحقيقات. وق حالات أخرى من الممكن أن يكون هناك 
حاجة لإجراء إصلاحات في المعدات أو البرمجيات. الأمر الذي يستخري بض الوقت لتنضذه. 
قد تكون الحلول قصيرة المدى ا بديلة للحادث» وهي لا نا للعودة إلى عملية 
التشغيل. أو قد تكون طلب تغبير Request For Change (RFC)‏ وسكا موعهاً لعملية 
إدارة التغيير لإزالة الخطأ. أحد الأمثلة على الحلول البديلة أو الحلول القصيرة المدى؛ هو 
مطالبة العميل بأن يقوم بإعادة تشغيل جهاز الحاسب الشخصي أو إعادة ضبط الإعدادات 
الخاصة بخطوط الإتصالات دون التطرق مباشرة إلى السبب الحقيقي لحدوث المشكلة. 

عندما يكون السبب الحقيقي للحادث غير معروف» فإنه يكون من المناسب رفع سجل 
مشكلة لخطأ غير معروف في البنية التحتية. ويتم رفع سجل المشكلة فقط في حال كانت 
عمليات التحقيق مضمونة ومكفولةء ويكون من الواجب تقييم تأثيرها الفعلي والمحتمل. 
فنجاح معالجة سجل المشكلة سيؤدي إلى تحديد الخطأ الأساسي. ويمكن تحويل حالة 
السجل بعد ذلك إلى خطأ معروف بمجرد إيجاد حل بديل و / أو 81:0. 


إدارة المشاكل الخاصة بتشغيل الخدمة: 

عندما تواجه عملية إدارة الحوادث انحراف نتيجة سبب أو علة غير معروفة» فإنه يجب 
أن تمرر تلك الحادثة إلى عملية إدارة المشاكل في آيتل لحلها. والهدف من ذلك هو تقليل 
التأثير الكلي للمشاكل من خلال عملية رسمية للكشف والإصلاح» والقيام باتخاذ الإجراءات 
اللازمة لمنع تكرارها. إن عملية إدارة المشاكل هي الخطوة التالية في مدى أهمية بعض 
الحوادث المبلغ عنهاء وينبغي النظر إلى هذه العملية من حيث ثلاث عمليات فرعية: إدارة 
مراقة المشاكل وإدارة مراقة الأخطاء والإدارة الرائدة للمشاكل. يعرف آيتل "اللشكلة 
3 على أنها السبب الرئيسي غير المعروف ينتج عنه واحد أو أكثر من الحوادث. 
ويُعرف "الخطأ المعرؤف 812101 121201111" على أنه مشكلة قد تم تشخيصها بنجاح وتعريف 
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الحل البديل لها. ليس ضروريا أن تكون الفكرة هنا هي إيجاد وحدة إدارية ثانية في إدارة 
تقنية المعلومات لي تستقبل الحوادث المبلغ عنها لدى مكتب المساعدة: ولكن الفكرة هي 
أن يُحدد متى وكيف يجب أن يتم تمرير بعض حوادث مكتب المساعدة المبلغ عنها إلى 
شخص أو سلطة أخرى لتشخيص المسألة المبلغ عنها بشكل أفضل والتعامل معها على أنها 
مشكلة. إن العملية الفعالة لإدارة المشكلة يمكنها أن تفعل الكثير لتحسين مجمل الخدمة 
المقدمة لعملاء تقنية اللعلومات. 


بالإضافة إلى حل أي حادث فردي يتم إرساله إلى عملية إدارة المشاكل» فإنه ينبغي على 
تقنية المعلومات أن تسعى لإيجاد عمليات لتحسين التحكم في المشاكل والأخطاء. متضمنا 
ذلك الحفاظ على البيانات للمساعدة فى تحديد الاتجاهات واقتراح إجراءات محسنة للوقاية 
الاستباقية من المشاكل. لذا لا بد من الاحتفاظ بال معلومات المتعلقة بالحلول و/أو الحلول 
البديلة الخاصة بالمشاكل التي تم حلهاء بالإضافة إلى سجلات المشاكل المغلقة. في كثير من 
الحالاث» قد تواجه إدارة المشاكل موقفاً يتطلب ضرورة الذهاب إلى خطوة أبعد وتقديم 
طلب تغيير :11176 رسميء إما من خلال إدارة تطوير تقنية المعلومات وإما من خلال بائع 
الأجهزة أو البرامج. 

وتركز عملية إدارة المشاكل على إيجاد أنماط بين الحوادث والمشاكل والأخطاء المعروفة. 
إذ إن المراجعة التفصيلية لهذه الأنماط تسمح للمحلل بحل المشكلة عن طريق النظر في 
العديد من الاحتمالات وتقليصها إلى أن يصل إلى الحل» وهذا ما يسمى بتحليل "السبب 
الجذري" 031156) غ1800. فهناك العديد من التقنيات الجيدة المستخدمة في حل وتصحيح 
المشاكل التي تكون غالبا نتيجة مجموعة من العوامل التقنية وغير التقنية. وتعد إذارة 
المشاكل مجالا جيدا لتشخيص عمليات تقديم خدمات تقنية المعلومات من أجل تحقيق 
مستوى فهم أفضل للصحة العامة لعمليات تقنية ا لمعلومات. ويمكن جمع المزيد من 
ا معلومات من خلال فهم عدد طلبات التغيير ۸۴٤s‏ التي تم رفعهاء ومدى تأثير تلك 
الطلبات ف إتاحة وموثوقية الخدمات كافة المقدمة في تقنية المعلومات» ومقدار الوقت 
المستغرق في عمل التحقيقات والتشخيص لأنواع مختلفة من المشاكل عن طريق الوحدة 
التنظيمية أو البائع» وعدد وتأثير الحوادث التي تقع قبل أن يتم حل المشكلة الجذرية 
أو تأكيد الخطأ المعروف: والخطط من أجل حل المشاكل المفتوحة فيما يتعلق بالأفراد 
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والاحتياجات الأخرى من الموارد: وكذلك التكاليف ذات الصلة واممبالغ المرصودة في الميزانية. 

تعد عمليات إدارة المشاكل الخاصة بتشغيل خدمات تقنية ال معلومات في ايتل من 
الأمور الهامة من أجل فهم وتقييم الصحة العامة لعمليات تشغيل البنية التحتية لتقنية 
المعلومات. فالعملية الفعالة لإدارة الحوادث تكون ضرورية لاستقبال مكالمات العملاء 
واتخاذ الإجراءات التصحيحية الفورية» في حين أن عملية الإدارة الفعالة للمشاكل قد تذهب 
خطوة أبعد من ذلك حيث تعمل على تحليل وحل المشكلة من خلال البدء في تقديم 
طلبات التغيير 1110185 عند الضرورةء وفيما عدا ذلك فإنها تعمل على تحسين رضا العملاء. 


حوكمة تقنة المعلومات وأفضل ممارسات تقديم الخدمة في آبتل: 

أوجزت الفقرات السابقة بعض عمليات دورة حياة إدارة الخدمة الأكثر أهمية في 
آيتل. حيث تقوم إدارة الخدمات في آيتل بوضع الخطوط العريضة لعمليات إطلاق وإدارة 
وضبط جميع مستويات خدمات تقنية المعلومات مع التأكيد على تحقيق رضا العميل. إن 
إرشادات آيتل تذهب إلى ما هو أبعد من الرقابة الداخليةء فهي تشمل إدارة تكاليف تقنية 
المعلومات» ووضع القياسات والمقاييسء وغيرها من قياسات تحسين الجودة. 

يدعو آيتل أي إدارة من إدارات تقنية المعلومات إلى أن تقوم ببناء برنامج للتحسين 
المستمر للخدمات من أجل مراجعة وتحليل وتقديم توصيات بشأن فرص التحسين في 
كل مرحلة من مراحل دورة حياة تقديم الخدمات في آيتل والتي تمت مناقشتها في هذه 
الأقسام. إن عمليات دورة حياة إدارة الخدمة في آيتل قد تم اعتمادها بشكل متزايد من 
خلال إدارات تقنية المعلومات في جميع أنحاء العالم. إذ إن التركيز على الخدمة يرفع أهمية 
موارد تقنية المعلومات والبنية التحتية الداعمة لها بالنسبة للمؤسسة بكاملها وعملائها 
وأصحاب المصلحة فيها. 

إن دورة حياة إدارة الخدمة في آيتل عباره عن سلسلة من العمليات اللترابطة لأفضل 
ا ممارسات التي تدعم إدارة البنية التحتية لتقنية ال معلومات وإدارة المؤسسة. إن تطبيقات 
تقنية المعلومات تقع في وسط هذه المعضلة وتمثل منطقة مركزية رئيسية لاهتمامات الرقابة 
الداخلية وحوكمة تقنية المعلومات. وفي حين أن عمليات إدارة المشاكل والحوادث والتغيير 
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في آيتل » من بين أمور أخرىء تميل إلى الدعوة إلى إنشاء إدارة كبيرة جدا لتقنية ا معلومات 
مسبعويات متعددة من الللهازة البقرية والإدارية. فإف مكن أيضا تطبيق هذه الممارسات 
المكان اللوجوةة في آيثل غلى مؤسسة أصغر من ذلك بكثير.. حيث کن تظبيق آيثل لن 
جميع إدارات تقنية المعلومات بمختلف أحجامها! وحتى تكون المؤسسة متوافقة مع آيتل 
> فانها لا تحتاج إلى مستويات متعددة من موظفي الدعم» بل تحتاج إلى النظر في مختلف 
عمليات دعم وتقديم الخدمات من منظور أفضل الممارسات في آيتل. قد لا تحتاج إدارة 
صغيرة لنقنية اللسلومات إل إنقاء إذارات منفصلة لإذارة الحوادك وإذارة ايلشاكل مغلا ولكن 
يجب أن ننظر في كل منها على أنها عمليات منفصلة مع إجراءات رقابية فريدة ومميزة. حتى 
وإن كانت إدارات تقنية المعلومات في المؤسسة صغيرة جداء فإنها ينبغي أن تعامل كل مجال 
من مجالات العمليات الموجودة في آيتل على أنه مجال مستقل من أجل تحسين الغمليات. 

تعد البنية التحتية لتقنية المعلومات أحد المجالات الهامة لحوكمة تقنية المعلومات. في 
كثير من الأحيان قد ركز كبار مديري تقنية المعلومات وغيرهم من كبار المديرين اهتمامهم 
على الضوابط الخاصة بالتطبيقات والضوابط العامة لتقنية المعلومات التى كانت موجودة 
في الماضي. أما في عام اليوم الذي يتسم بالعمليات المعقدة التي تدعم البنية التحتية لتقنية 
المعلومات» فإن عمليات آيتل المبينة في هذا الفصل تصف بعض المجالات الممتازة للعناية 
وة كقدة امات 


ملاحظة 
(150): والذي ممكن العثور عليه في الموقع علنا.مء.م18191.]503120. 
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في الأعوام التي ثلث الخرب العالمية الثانية: برزت الشات المتعدة زعيما اقنضاذدا 
واا عالميا. وبسبب هذه الهيمنة: فقد تجاهل الكثيرون في الولايات المتحدة المعايير 
المتعلقة بأفضل الممارسات التجارية التي تم تطويرها واستخدامها في أماكن أخرى من 
اقتصادنا العالمي ال مترابط. إن هذه المعايير الدولية لأفضل الممارسات هي نتاج جهود تعاونية 
تأخذ بعين الاعتبار مجموعة واسعة من الاحتياجات والمتطلبات المحلية. إن مصدر العديد 
من هذه المعايير هو منظمة المقاييس والمواصفات الدولية International Standards‏ 
(1500:1931716:150.01:8) 018311221011 وهي هيئة يقع مقرها في جنيف بسويسراء وقد 
قامت بإصدار المعايير المعتمدة والمتعارف عليها والتي تغطي مجموعة واسعة من المجالات 
بدءا من المواصفات الخاصة بأسنان التثبيت الملولبة المستخدمة في محركات السيارات 
إل مك يظاقة الأكمان ال هة ووضولا إل معانن الحودة الخاصة رقمة العالومات. 
وقد تم توسيع هذه المعايير على مر السنين لتشمل العديد من المجالات التي تعتبر مهمة 
بالنسبة لحوكمة وجودة المؤسسات. 


لا بد أن يتمتع كبار المديرين التنفيذيين بمستوى فهم معين لأدوار معايير الأيزو وآي 
منها امت مؤسساتهة: كما مب عليه قهخ المعايير الهامة بالنسية لحوكمة فغالة 
لتقنية المعلومات. ويستعرض هذا الفصل ثلاثة من هذه المعايير التي تعتبر مهمة بالنسبة 
مارات الفعالة لحوكية نة اللات وس متاققة عض العلومات الأساسة 
عن كيفية تطوير تلك المعايبر الخاصة بأيزو وسبب أهميتهاء فإننا سنقوم بتسليط الضوء 
أولاً على المعيار العالمي الذي يطلق عليه اسم أيزو 100١‏ (9001 150): وعلى الرغم 
من عدم تركيز هذا المعيار على قضايا حوكمه تقنيه المعلومات على وجه الخصوصء فإن 
المبادئ التي جاءت في هذا المعيار قد شجعت العديد من المؤسسات على الصعيد العالمي 
على وضع وتنفيذ الممارسات الخاصة بجودة الإنتاج والعمليات التجارية الأخرى بصورة 


فو 
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وعلى الرغم من وجود مجموعة كبيرة من معايير الأيزو التي قد يمكن تطبيقها على 
حوكمة تقنية المعلومات» فإن هذا الفصل سيقوم باستعراض اثنين من تلك ا معايير وبيان 
أهميتها وهما: أيزو ۲۷۰۰۲ (27002 150) وأيزو ١86٠٠‏ (38500 ©15). واستكمالا 
لحديثنا عن اتفاقيات مستوى الخدمة 5ش4.آ5 التي تم تقدهها في الفصل السابع عشر 
من هذا الكتاب» فإن هذه المعايير تعمل على توضيح إطار العمل من أعلى إلى أسفل 
للقيام بتحديد ملامح عمليات إدارة الخدمات الضرورية لتقديم خدمات عالية الجودة. قد 
يكون فهم اللعابير اللناسبة لمنظمة الأيزو 150 أمرا هاما بالنسبة لبعض الممارسات الخاصة 
بحوكمة تقنية المعلومات. فعلى الرغم من أن هذه المعايير يتم تطبيقها غالبا من خلال 
إدارة الجودة أو إحدى الإدارات بالمؤسسة: فإنه يتوجب على المدير الأول أن يكون ملما 
بأهمية تلك المعايير ومجمل عمليات الأيزو. 


معلومات أساسية عن معابير الأيزو: 

قد يكون (مصطاح الأيزو) مربكا بعض الشيء بالنسبة للبعضء فهو يشير إلى منظمة 
امقاييس والمواصفات الدولية Standards Organization‏ 12161221021. وهي عبارة 
عن هيئة متخصصة في وضع اللمعايير العالمية» يقع مقرها في مدينة جنيف بسويسرا. وهي 
الجهة المسؤولة عن تطوير ونشر مجموعة واسعة من المعايير الدولية التي تتعلق بالعديد 
من مجالات وإجراءات الأعمال. بعض معايير الأيزو يعتبر عاما جداً كالمعيار أيزو ٠٤١١١‏ 
(14001 150) » وهو المعيار الذي يحدد المتطلبات الخاصة بالنظم الفعالة للإدارة البيئية 
في حين يكون البعض الآخر منها مفصلا ودقيقاء كالمعيار الذي يتناول المواصفات الخاصة 
بحجم وسمك بطاقات الائتمان البلاستيكية. تعود أهمية المعايير الواسعة للأيزو إلى أنها 
تسمح لجميع ال مؤسسات على مستوى العام باستخدام اللغة نفسهاء وذلك عندما تصرح 
تلك المؤسسات بأن لديها المعيار نفسه: وليكن على سبيل المثال» معيار النظام الفعال 
للإدارة البيئية أيزو 14001. كما أن هناك العديد من المعايير الأكثر تفصيلا والتي تعتبر 
هامة وحساسة للغايةء مثل تلك الخاصة بماكينة الصراف الآلي والموجودة في كل آنحاء العام 
والتي تتوقع أن تستقبل جميعها بطاقات ائتمان لها الحجم والسّمْكَ نفسهما. 
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يتم تطوير معايير الأيزو من خلال تضافر جهود العديد من المنظمات الوطنية المعنية 
بوضع المعاييرء مثل المعهد الأمريي للمعايير الوطنية American National Standards‏ 
[tit‏ أو غيره من المجموعات المنتشرة في جميع أنحاء العالم. تبدأ عملية وضع 
المعايير بشكل عام بضرورة معروفة تحثّم وجود معيار في مجال ما. مثال على ذلك معيار 
أيزو 7/7٠١١‏ (27001 150) والذي يقوم بتحديد متطلبات رفيعة المستوى لنظام فعال 
لإدارة أمن المعلومات. وقد تم تطوير هذا المعيار من خلال جهود اللجان الفنية الدولية 
التي ترعاها منظمة الأيزو بالتعاون مع اللجنة الدولية الكهروتقنية 101611121002821 
)10611111621 وهي إحدى الهيئات ال معنية بوضع المعايير الدولية. لا 
يحتوي هذا المعيار على أية متطلبات تفصيلية: لكنه يحتوي على عبارات رفيعة المستوى 
على غرار ذكر "يجب على المؤسسة". في بعض المجالات: يتم وضع هذا النوع من الإرشادات 
في الإجراءات المتعلقة بعملية تدقيق تقنية المعلومات التي تم الحديث عنها في العديد من 
فصول هذا الكتاب. 


وتظرا ق ارك العضد من الهيقات العكدمية الدولة والجموع اك اة والتغيراء 
المستقلين في عملية وضع معايير الأيزوء فإن عملية بناء واعتماد أي وثيقة من وثائق منظمة 
الأيزو تحتاج غالبا إلى وقت طويل. حيث تقوم لجنة من الخبراء بتطوير مسودة مبدئية 
للمعيار الذي يغطي مجالا ماء بعد ذلك يتم إرسال تلك المسودة للمراجعة وإبداء الرأي 
قبل تاريخ محدد. ثم تقوم اللجنة في النهاية مراجعة التعليقات على المسودة قبل أن 
تقوم بإصدار المعيار الجديد أو إرسال مسودة منقحة لإجراء جولة أخرى من المراجعات 
والتغييرات المقترحة. ويتم نشر معيار الأيزو عادة بعد مروره بالعديد من المراحل التي يتم 
من خلالها إعداد المسودات والنظر في التعليقات الخاصة بها. يمكن للمؤسسات بعد ذلك 
أن تقوم باتخاذ الخطوات اللازمة للامتثال لهذا المعيار. ويجب على المؤسسة أن تتعاقد 
مع مدقق خارجي معتمد يمتلك مهارات في هذا المعيار ليقوم بالتصديق على امتثالها لهذا 
المعيار. 

وقد شاركت العديد من المؤسسات الأمريكية للمرة الأولى في هذه المعايير الدولية من 
خلال إطلاق معايير أيزو 1٠٠١‏ (9000 150) الخاصة بنظام إدارة الجودة في تمانينيات 
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القرن الماضي. وسيتم مناقشة هذا المعيار لاحقا في هذا الفصل. كانت الشركات الأمريكية 
تواجه مشاكل تنافسيه بالنسبه للمنتجات التي تخضع لمعايير تصميم عالية الجودة والتي 
كانت مطبقة في المنتجات غير الأمريكية في ذلك الوقت مثل السيارات اليابانية. فقد قامت 
المؤسسات اليابانية بتصميم العديد من المنتجات العالية الجودة من خلال اتباع ما أصبح 
يعرف بأيزو ٩٠٠١‏ (9000 150).: وبدأ المصنعون في الولايات المتحدة بتعديل العمليات 
الخاصة بهم للامتثال لهذه المعايير الخاصة بالمنتجات ذات الجودة العالية. وقد سمح هذا 
الامتثال بمعيار أيزو ۰۰ (9000 150) للمؤسسات في جميع أنحاء العام بتصميم عملياتها 
التشغيلية وفقا لمعيار واحد ثابت» ومن ثم التأكيد على أن لديهم تظاما فخلا ومحمولا نه 
لإدارة الجودة وفقا للمعبار الدولي. 


تخد معاي الأندو أكثر تحديدا وضيظا من الإزقاذات الخاضة بأفضل الممارسات دة 
البنية التحتية لتقنية المعلومات (آيتل) والتي تناولنا الحديث عنها في الفصل السادس من 
هذا الكتاب. إذ يتم نشر وضبط هذه ال معايير بواسطة منظمة الأيزو التي تقع في جنيف. 
والتي تتبع قوانين صارمة في حقوق التأليف والنشر. فال مواد الخاصة بها لا هكن تحميلها 
من خلال عمليات البحث الاعتيادية على الإنترنت؛ بل لابد من شرائها. إن العديد من 
معايير الأيزو الفعلية عبارة عن توضيحات تفصيلية للغاية للممارسات التي يجب اتباعها. 


تكون الإرشادات واضحة ولا لبس فيها ولا غموض و تشر غالبا إلى أقسام أخرى من 
هذا المعيار لاتباعها. تستطيع المؤسسة أن تقوم باتباع معايير منظمة الأيزو 150 والاعتماد 
عليهاء وذلك على غرار اتباعها لأفضل الممارسات الخاصة بآيتل » إلا أن عدد معايير الأيزو 
أكثر بكثير من أفضل الممارسات الموصى بها في آيتل. فهي تمثل مقاييس أداء بالنسبة 
للمؤسسة مع نظيراتها. فمن خلال الالتزام والتمسك بتلك المعايير العالمية» يمكن للمؤسسة 
التحقق من أنها تعمل وفقاً لمعيار دولي ثابت» فمعايير أيزو ١74/60‏ (13485 150) الخاصة 
بالمتطلبات التنظيمية لإدارة الجودة الخاصة بالأجهزة الطبية تقدم مثالا على ذلك. حيث 
يحدد هذا المعيار متطلبات الجودة الخاصة بأجهزة الرعاية الصحية للإنسانء ومن الأمور 
الأخرى التي يتضمنها هذا امعيار. أنه يدعو المؤسسة التي تقوم بصنع مثل هذه الأجهزة إلى 
أن تقوم بوضع ضوابط المعايرة ا مناسبة. ونظراً لتنوع أساليب المعايرة» فإن المعيار لا هكن 
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أن يحذد أسلوباً واحدا فحسب؛ فهو في جميع الأحوال يشترط على المؤسسات أن يكون 
لديها الآليات المناسية المعمول بها. 

ومن الأمور الهامة بالنسبة للمؤسسة أن تقوم بقراءة معيار الأيزو وتعديل عملياتها 
للتوافق معه؛ ومن الأمور الجيدة أيضا بالنسبة للمؤسسة أن تثبت للآخرين أنها تتبع هذ 
المعيار. إن شهادة الأيزو هذه عبارة عن عملية مشابهة لعملية التدقيق الخارجي للسجلات 
المالية التي يقوم بها المحاسبون القانونيون (6245©). فعمليات تدقيق القوائم المالية 
تتطلب وجود محاسب قانونی معتمد يعمل مدققا خارجيا معتمدا لتقييع ما إذا كانت 
تلك التقارير امالية للمنشأة "معلنة بوضوح" وتتبع ضوابط داخلية جيدة ة ومعابير محاسبية 
معتمدة ومتعارفا عليها أم لا. فهي تعد مفردات رفيعة المستوىء إلا أن تقريرا كهذا للتدقيق 
الخارجي الذي يتم التوقيع عليه مع النتائج النهائية المبلغ نها من شانة أن نوق سقو 
للتأكيد على أن التقارير المالية نزيهة وتستند إلى إجراءات جيدة للرقابة الداخلية. 


إن عملية الحصول على شهادة الأيزو تشبه أيضا عملية التدقيق امالي التي يقوم بها 
المحاسب القانوني المعتمد والذي يتمد على التوافق مح معايير التدقيق المقبولة قبولا عاما 
(64435) والتي تقوم بها شركات المحاسبة العامة الكبرى. وعلى الرغم من عدم وجود 
الشركات "الأربعة الكبار 8184" هنا ء أي مجموعة من الشركات الكبرى لتدقيق الأيزوء فإن 
منظمات وضع المعايير تؤهل المراجعين الخارجيين لأداء المراجعة الخارجية للعايير الأيزو 
المختلفة. حيث لا يوجد للأيزو معايير تدقيق متعارف علبها 64245 ولكن هناك درجة 
كبيرة من التنوع في أهداف التدقيق» فمُرَاجع معيار أيزو 77٠١١‏ (27001 150) الخاصة 
بنظم إدارة أمن المعلومات سيقوم بالبحث عن الإجراءات الرقابية المختلفة: وهذا مغاير لما 
سيبحث عنه مراجع معيار أيزو ١١6/80‏ (13485 150) الخاصة بنظم إدارة جودة الأجهزة 
الطبية. في جميع الأحوالء فإن المدقق الخارجي المؤهل لتدقيق معايير الأيزو قد يحدد 
الأجزاء التي تحتاج إلى إجراءات تصحيحية ويقوم بإصدار تقرير للإدارة مشابه لعمليات 
التدقيق الداخلي» كما سيتم مناقشته في الفصل التاسع عشر من هذا الكتاب. وبمجرد أن 
يتم تصحيح توصيات مدقق الأيزوء فإن المراجع الخارجي سوف يشهد بأن المؤسسة متوافقة 
مع المعيار. 
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وبمجرد اعتماد المئؤسسة: فإنها تستطيع أن تعلن للعالم الخارجي أن العمليات المتبعة 
لديها تلبي ذلك ابمعيار الخاص بالأيزو. على سبيل المثال» فإن أحد الزبائن الذين يتعاملون 
مع أجهزة التفخيص الطبي يريد أن يعرف ما إذا كان المورد ا ملحتمل متوافقا مع معيار 
أيزو ۱۳٤۸١‏ (13485 150) أم لا. وإن هذا المصنع للجهاز الطبي ET.‏ 
الحصول على ضمانات بأن موردي المكونات الأولية لها مؤهلون من قبل الأيزو. وعلى الرغم 
من وجود مجموعة كبيرة من معايير الأيزوء فإن الأقسام التالية سرض عدداً من اللمعايير 
التي لها أهمية بالنسبة للضوابط الداخلية والحوكمة والتي تشهد نموا متزايدا على مستوى 
العالم في الوقت الراهن. 


معابير الأيزو ٠٠٠١‏ لإدارة الجودة: 

تمتلك معايير الأيزو ٠٠٠١‏ (9000 150) تراثا يعود تاريخه إلى أيام الحرب العاممية 
الثانية. وذلك عندما كان طرفا الصراع بحاجة إلى توحيد قوي للمواصفات المنتجات أثناء 
القيام بإنتاج العديد منها. حتى وإن كانت هذه المنتجات عبارة عن الرصاص والقنابل: كان 
يجب عليهم العمل بشكل صحيح لتوحيدها. فقد كانت هناك حاجة لفرض رقابة صارمة 
على جودة المنتجات. وظهرت بعض الإجراءات القياسية القوية من جانب الحلفاء الغربيين 
لضمان الجودةء كما ظهرت مهن كال مهندسين الصناعيين وأخصائين للعمل في مراقبة جودة 
الإنتاج. وبعد انتهاء الحرب» تم إنشاء منظمة الأيزو على أنها جزء من الاتفاقية العامة 
للتجارة والتعريفات الجمركية General Agreement on Trade and Tariffs (GATT)‏ 
أو ما يعرف باسم (اتفاقية الجات). وهي إحدى الاتفاقيات الدولية الهادفة إلى جعل العام 
يعيش في بيئة أكثر أمنا. كانت معايير الأيزو ٠٠٠١‏ الخاصة بنظم إدارة الجودة واحدة من 
المعايير الأولى التي أصدرتها منظمة الأيزو. وقد لاقت الاهتمام الأول بها والأكبر من قبل 
البلدان الأوروبية التي كانت تتعافى حديثا من آثار الحرب. 

وقد كانت اليابان واحدة من البلدان التي بحاجة إلى إعادة الإعمار والتعاقي من الحروب» 
وهي البلد التي قامت بتبني نظم إدارة الجودة بشدة في تلك الفترة. وقد قام اليابانييون في 
خمسينيات وستينيات القرن الماضي بتوجيه دعوة لعدد من خبراء أنظمة الجودة الأمريكيين 
مثل دیلو ادواردز دھین ج «W. Edwards Deming‏ وآخرين ليقوموا ممد يد العون 
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وا لمساعدة لهم في العديد من المصانع اليابانية. وقي الوقت الذي تم فيه تجاهل هؤلاء 
الخبراء إلى حد ما في الولايات المتحدة: قامت الصناعة اليابانية بتبني فلسفتهم وتقنياتهم 
بشكل كبير وملحوظ. وبحلول منتصف السبعينيات من القرن اللماضي بدأت الشركات 
اليابانية المصنعة للإلكترونيات والسيارات تشق طريقها بشكل كبير في أسواق الولايات 
المتحدة نظراً لجودة وقيمة منتجاتها. وقد بدأ الكثيرون في الولايات المتحدة في إدراك أن 
هذه المنتجات اليابانية الصنع قد تفوقت على منتجاتهم في كثير من النواحي. فقد أصبحت 
معابير الجودة الخاصة الأو (18©:9000) عامل ذا أهمية متزايدة في قياس وتقييم جودة 
المنتجات في جميع أنحاء العاط. 

إن الأيزو ٩٠٠١‏ (9000 150) هي عبارة عن عائلة من المعايير الخاصة بنظم إدارة 
الجودة والتي يتم تنظيمها وصياغتها من قبل منظمة الأيزو. وتتضمن هذه المعايير 
متطلبات لأمور مثل: 
« مراقبة العمليات لضمان أنها فعالة. 
٠‏ فحص مخرجات الإنتاج من أجل اكتشاف العيوبء مع بدء الإجراءات التصحيحية المناسبة 

عند الضرورة. 

٠‏ مراجعة منتظمة للعمليات الفردية ونظام الجودة الشاملة من أجل الفاعلية. 

يشير كل بند من هذه البنود إلى مجموعة من العملياتء لا إلى إجراءات معينة. ولي 
تثبت مؤسسة ما أنها متوافقة على سبيل المثال مع الأيزو ٠٠٠١‏ (بالتحديد معيار أيزو 

58 - والذي يقوم متابعة العمليات الرئيسية لتكون أكثر فاعليةء فإنه يتوجب عليها في 

كثير من الأحيان أن تقوم تعمل العددد من التغبيرات ٤‏ إجراءاتها الإدارية ووتائقها الذاعمة. 
إن الامتثال بأحد معابير الأيزو يخلق أيضا مستوىق E‏ من التوقعات. فعندما تحصل 
المؤسسة ف أي مكان في العام على مثل هذه المعاييرء فهى بذلك تعلن أنها تمتلك أنظمة 
فعالة ومعمولا بها لإدارة الجودة. إن المؤسسة التي يتم تدقيقها واعتمادها بشكل مستقل 
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لتكون متوافقة مع أيزو 4٠0٠0١‏ على سبيل المثال؛ قد تعلن صراحة أنها "معتمدة من الأيزو 
1 أو "مسجلة لدى الأيزو ."5++١‏ لا تضمن شهادة معبار أيزو ۹٠١١‏ الامتثال (ومن 
ثم الجودة) للمنتجات والخدمات النهائية: وإنما هي فقط شهادة تدل على أنه يتم 
العمليات التجارية والإنتاجية الملائمة. 

تتم عملية الاعتماد الفعلية من خلال الفحص الذي يقوم به أحد المدققين المعتمدين في 
الأيزو والمتخصصين في معيار محدد من معاييرها. وكما تحدثنا سابقا فان هذه العملية تشبه 
عملية المراجعة والتدقيق التي يقوم بها المحاسبون القانونيون (024:5) لاعتماد القوائم 
امالية الخاصة بإحدى المؤسسات. وبالتنسيق مع منظمات المعايير الوطنية لديهم يتم 
التفويض والسماح لمدققي الأيزو بتسجيل امتثال المؤسسة للعيار فريد من معايير الأيزو. 

إن معايير الأيزو 4٠٠١‏ وغيرها من المعايير الأخرى للأيزو تفرض على المؤسسة متطلبات 
توثيقية ضخمة:؛ فلا يكفي أن تدعي المؤسسة بأنها قامت بتوثيق عملية ما لمرة واحدة فقط. 
بل يحب أن تكن هناك عملية سستمرة لإبقاء هذا التوقيق فدلا ومسهمراء ف الستوات 
الماضيةء بذلت العديد من المؤسسات الجهود لتوثيق إحدى المبادرات أو العمليات الجديدة 
للمرة الأولى ولكنها فشلت ف المحافظة على هذا التوثيق. وقد تعرض العديد من مدققي 
تقنية المعلومات لمثل هذه الحالات. فكثيرا ما كانوا يسألون عما إذا كان قد تم توثيق 
النظام أو العملية التي هم بصدد مراجعتها حالياً وفي حال كانت الوثائق غير محدثة أو 
غير موجودة: فإن هذا القصور سيظهر غالبا في نتائج التقرير الخاص بعملية التدقيق» وفي 
كثير من الأحيان لا يؤدي ذلك إلا إلى القليل من الإجراءات التصحيحية النهائية. إن الامتثال 
معايير الأيزو ٠٠٠٠١‏ يرفع سقف المتطلبات الخاصة بعمليات الجودة إلى مستوى جديد كليا. 
لذا يجب على مراجع الأيزو أن يصدق أو يشهد على امتثال المؤسسة بال معيار لكي تتمكن 
من الإعلان للعام الخارجي بأنها متوافقة مع معيار الأيزو. 

إن الأيزو 6٠٠١‏ هو عبارة عن مجموعة من المعايير الخاصة بنظام الجودة القائم على 
التحسين المستمرء سواء كان ذلك لإحدى المنتجات الصناعية أم العمليات الخدماتية. يوضح 
الشكل التوضيحي )١-۷(‏ تلك العملية الخاصة بنظام إدارة الجودة التي تقودها سلسلة من 
الإجراءات الداخلية للتحسينات المستمرة وطلبات العملاء أيضا. في هذه العملية المستمرة 
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يجب مراقبة العمليات الموجودة والإجراءات المخطط لها لإدخال التحسينات وعناصر 
الإجراءات التي يتم تنفيذها لعمليات المراقبة؛ وإدخال المزيد من التحسينات المستقبلية. 
لا تعد عملية التحسين ال مستمر للجودة من العمليات الجديدة بالنسبة للعديد من كبار 
المديرين. فقد قام محترفو تطوير نظم تقنية المعلومات بالأساس باستخدام المجموعة 
نفسها من العمليات العامة التي كانت موجودة منذ الأيام الأولى لتطوير النظم التقنية في 
عملية تطوير النظم الجديدة في تقنية المعلومات والتي تدعى دورة حياة تطوير النظم 
0 . وقد دعت تلك التطبيقات التي تم تطويرها باستخدام أسلوب عملية دورة حياة 
تطوير النظم 521٤‏ إلى قدر كبير من الوثائق التي كانت في أغلب الأحيان غير جاهزة. أما 
اليوم فيتم تطوير تطبيقات تقنية ال معلومات من خلال عمليات غير رسمية ودورية وسريعة 
بشكل أكبر لتطوير التطبيقات. 


إن التوثيق الصارم والدقيق مهم جدا بالنسبة للمؤسسة التي تسعى للتسجيل في الأيزو 
وهو مطلب عالمي. حيث تدعو أفضل الممارسات في الأيزو إلى اتباع التسلسل الهرمي 
للتوثيق في أي مجالء بدءا من الإرشادات الرفيعة المستوى التي توضح أسباب الممارسة. 
وصولاً إلى التعليمات التفصيلية التي توضح الكيفيات التي تتم من خلالها الممارسة. الشكل 
التوضيحي (۲-۷) يعرض هذا التسلسل الهرمي للتوثيق حيث تم وضع "النماذج والوثائق" 
في الجزء السفلي من المثلثء والتي تعمل على توفير الأدلة والبراهين. فهذا التوثيق ضروري 
وأساسي لدعم نظام إدارة الجودة: ومن المؤكد أنه يُطلب من قبل مدققي التصديق 
الخارحين للأيزو. 

لقد وفر هذا القسم وصفا رفيع المستوى جدا لمعايير الأيزو ٠٠٠١‏ الخاضة بعملية 
إدارة الجودة. ومع ذلكء قد يتساءل القارئ: "لماذا يجب علي الاهتمام بالأيزوء وما الذي 
لديها لتقدمه لحوكمة تقنية المعلومات؟" نقولء إن التوافق مع هذه العمليات الخاصة 
بالأيزو 1٠٠١‏ مهم بالنسبة لجميع أنواع المؤسسات لتعلن للإدارة الداخلية الخاصة بها 
وللعال الخارجي بأنها تركز على الجودة. ومثال على ذلك» في عام 1150 أصبح المعهد 
الأمريي للمحاسبين القانونيين أول منظمة مهنية عالمية كبرى معتمدة وحاصلة على 
شهادة الأيزو ۹٠٠١‏ . فمن الواجب أن تقوم جميع المنظمات على مختلف المستويات 
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بالنظر في تبني عمليات الأيزو .٠٠٠١‏ فكثير من الإعلانات الموجودة اليوم لكثير من 
المنتجات أو الخدمات ال معروضة تصرح أو تذكر أن البائع حاصل على شهادة الجودة 
ومعتمد من قبل منظمة الأيزو. ويستطيع أي عميل طلب المزيد من المعلومات التي 
تتعلق بمستوى هذه الشهادة قبل أن يقرر إتمام عملية الشراء. 

شكل توضيحي (۱-۷) 


عملية نظام إدارة الجودة 





التحسين المستمر لنظام إذارة الجودة 





تحدد معايير الأيزو بعض أفضل الممارسات الرفيعة في العديد من مجالات العمليات 
التشغيلية لتقنية المعلومات. حتى وإن كانت المؤسسة لا تسير بنسبة مثة ف ايلئة في 
استكمال جميع المتطلبات الخاصة بأحد معايير الأيزو وتكمل متطلبات التدقيق الخاصة 
بالأيزوء فإن المعايير سوف توفر بعض الإرشادات القوية والمثبتة لبناء عمليات داخلية قوية. 
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تعتبر مهمة بالنسبة للعمليات الفعالة لحوكمة تقنية ا لمعلومات. 


شكل توضيحي (۲-۷) 


هرمية الوثائق في الأيزو 





معايير الأيزو الخاصة بأمن تقنية المعلومات: أيزو ۲۳ وأا.ءء/ا": 

إن أيزو ۲۷٠١۲‏ (27002 150) هو عبارة عن معيار هام في النواحي الأمنية المرتبطة 
بتقنية المعلومات» ومصمم لمساعدة أي مؤسسة تحتاج إلى وضع برنامج شامل لإدارة أمن 
لفات أو قجس ممارساتيا العالية اة زأفن الاعلومات: وضيدا عن موضوعات 
الحوكمة وأمن تقنية المعلومات التي نوقشت في الفصل العاشر من هذا الكتابء فإن أيزو 
۲ يعد أحد المعايير التي تخص طائفة عريضة من مصادر المعلومات وأمن المعلومات 
بشكل عام. ولأن هناك العديد من الأشكال التي يمكن أن تتواجد بها مثل هذه البيانات: فإن 
المعيار يأخذ نهجاً موسعاً ويحتوي على مجموعة كبيرة من المعايير الأمنية التي تتعلق بالتالي: 
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« الملفات الإلكترونية للبيانات والبرمجيات. 

ه جميع أشكال المستندات الورقيةء متضمنا ذلك المواذ المطبوعة والملاحظات المكتوبة بخط 
اليد والصور. 

فسات القيدين والشصيلات الصوقة. 

٠‏ المحادثات الهاتفية وكذلك البريد الإلكتروني والفاكس والفيديو وغيرها من أشكال الرسائل. 


الفكرة هنا هي أن المعلومات بجميع أشكالها لها قيمة وبحاجة إلى حمايةء تماما كأي 
أصل من الأصول الأخرى الموجودة في الشركة. إن العديد من المؤسسات اليوم لا تضع 4 
تلك المعايير الأمنية في الحسبان فيما يتعلق بتلك المجالات الواسعةء لكن معيار أبزة نشير 
إلى أنه لا بد من تضمين هذه المعابير الأمنية قدر ا مستطاع. كما يقترح ایشا ضرورة ة حماية 
البنية التحتية التي تدعم هذه المعلومات» والتي تتضمن الشبكات والنظم والوظائف من 
مجموعة واسعة من التهديدات. والتي تتضمن أي شيء ابتداءً من الأخطاء البشرية وتعطل 
المعدات إلى أن يصل إلى السرقة والاحتيال والأعمال التخريبية من خارج المؤسسة والتخريب 
المتعمد من قبل العاملين في المؤسسة والحريق والفيضانات وحتى الإرهاب. 

وعلى غرار جميع المعايير الأخرى لمنظمة الأيزو. فإن هذا ا معيار المنشور لا يقوم حقيقة 
بوصف ما هو المطلوب على وجه التحديدء لكنه يحدد ال مجالات التي تحتاج إلى معايير 
تتعلق بالأمن. الشكل التوضيحي (-؟) يوضح الموضوعات الرئيسية لمعيار أيزو .٠۷٠٠۲‏ 
فا معيار لا يحتوي على المتطلبات التفصيلية لكل من هذه المجالات - فالمعيار الدولي 
الشامل والثابت يتطلب نصا شاملا ومکثفاً ولكن لن يكون شاملا للجميع: وقد يصبح غير 
صالح. فبدلا من ذلك على سيل اللخال.. تدعو السظر (6-؟) إلى امعان الأمنية الغاضة 
بسياسات وصول الشريك الخارجي أو ما يسمى الطرف الثالث 22167 11110 للبيانات. 
فالأيزو يدعو إلى أن يكون لدى المؤسسة عمليات موثقة ومعتمدة تشمل السياسات التي 
تحكم وصول الشريك الخارجي أو الطرف الثالث إلى البيانات والنظم. لذا يجب على 
المنشأة أن تضع معايير وإجراءات أكثر تفصيلا خاصة بها في هذا المجال. إن نوع ومدى 
هذه المعايير يمكن أن يعتمد على عوامل كثيرة. لذا يجب أن تقوم المؤسسة الممتثلة لمعيار 
الأيزو ۲۷٠١۲‏ بمعالجة هذه القضية جنبا إلى جنب مع المجالات الأخرى في المعيار. 
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الشكل التوضيحي (۳-۷) 
مجالات موضوع معايير الأيزو ۲۷۰۰۲ 
يسرد هذا الملخص مجالات الموضوعات الرفيعة المستوى الموجودة في هذا المعيار 
الصادر من منظمة الأيزو (27002 150). الخطوط العريضة الفعلية للمعيار تنخفض 
إلى مستويات متعددة: وأكثر تفصيلا لكل نقطة من النقاط. هذا المستوى من ايلخطط 
التفصيلي يعتبر نموذجا لجميع معايير الأيزو. 
-١‏ النطاق: وصف رفيع المستوى لتطبيق هذا المعيار. 
-١‏ المصطلحات والتعريفات: ها يتفق مع معايير الأيزو الأخرى فإن المصطلحات الرئيسية 
كافة يتم تعريفها (على سبيل المثالء تعريف المقصود ب "السرية"). 
۳- المعايير أو الحاجة إلى سياسة عالية المستوى لأمن المعلومات. 
ع- المتطلبات اللازمة للإدارة الأمنية في المؤسسة: 
١-٤‏ البنية التحتية لأمن المعلومات. 
۲-٤‏ السياسات الأمنية ووصول الطرف الثالث. 
٠-٤‏ اعتبارات الاستعانة بمصادر خارجية (اعتبارات التعاقد الخارجي). 
0- معايير تصنيف الأصول والرقابة: 
١-0‏ المساءلة عن الأصول. 
۲-۵ تصنيفات المعلومات. 
“- أمن الأفراد: 
1-5 الاعتبارات الأمنية في تعريفات الوظيفة وامموارد. 
7-7 تدريب المستخدم على أمن الأفراد. 


٠-7‏ معابير الاستجابة للحوادث الأمنية والأعطال. 
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۷ الأمن المادي والبيئي» مضنا ذلك متطلبات ل 
۱-۷ المناطق الآمنة. 
۲-۷ أمن اللعدات. 
۳-۷ الضوابط العامة. 


۸ 


إدارة الاتصالات وعمليات التشغيل: 

١1-8‏ الإجراءات التشغيلية والمسؤولية. 
۸ التخطيط والموافقة على النظام. 

۸ الخمانة .ضف الرفجات الحسثة. 

٤-٨۸‏ ادارة الممتلكات. 

0-۸ متطلبات إدارة الشيكة. 

1-۸ معالجة الوسائط والأمن. 

۷-۸ تبادل المعلومات والبرمجيات. 

9- التحكم في الوصول: 

١-4‏ متطلبات الأعمال للتحكم في الوصول. 
۲-۹ إدارة الوصول للمستخدم. 

۹ مسؤوليات المستخدم بالنسبة للمعايير الأمنية. 
٤-۹‏ التحكم في الوصول إلى الشبكة. 

1 التحكم في الوصول لنظام التشغيل. 
7-9 إدارة الوصول للتطبيقات. 


9-/ معايير المراقبة للوصول إلى النظام واستخدامه. 
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معايير حوكمة تقنية المعلومات: أيزو ۹۰۰۱ و۲۷۰۰۲ و۴۸۵۰۰ 


۸-۹ الحوسبة المتنقلة والشبكات ذات الصلة. 
-٠‏ معايير تطوير النظام وصيانته: 

٠-٠‏ المتطلبات الأمنية للأجهزة ونظم البرمجيات. 

۲٠‏ آمن نظم التطبيقات. 

"-٠‏ ضوابط التشفير. 

2-٠‏ أمن ملفات النظام. 

0-٠‏ الأمن في عمليات التطوير والدعم. 
-١‏ معابير إدارة استمرارية العمل. 
-١١‏ المعايير الأمنية التي تغطي قضايا الامتثال: 

٠-١‏ الالتزام بالمتطلبات القانونية. 

7-١‏ مراجعات السياسة الأمنية والتوافق الفني. 

۳-۲ اعتبارات تدقيق النظم. 

في خطوة أولى لتطبيق معيار أيزو ,7/٠١٠7‏ فإنه يجب على المؤسسة أن تقوم بتحديد 
احتياجات ومتطلبات أمن المعلومات الخاصة بها. وهذا يتطلب القيام بإجراء تقييم لمخاطر 
أمن المعلومات على غرار عمليات إدارة المخاطر المؤسسية الصادر عن لجنة المنظمات 
الراعية (005©0©).» والتي تم الحديث عنها في الفصل الرابع من هذا الكتاب. يجب أن يركز 
مشل هذا التقييم على تحديد التهديدات والثغرات الأمنية إلى جانب تحديد الكيفية التي 
من خلالها يمكن اعتبار كل واحد منها سببا محتملا في وقوع الحوادث الأمنية. وينبغي 
أن تساعد هذه العملية على تحديد الاحتياجات والمتطلبات الفريدة لأمن المعلومات ف 
المقسسة: 

لوضع عمليات خاصة بفرض معيار الأيزو ۲۷٠١۲‏ الخاص بأمن ال معلومات ينبغي 
عل الموسسة أن تقو يتعديب وفهم جميع المتظلبات القائونية والتشريعية والتتظيمية 
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والتعاقدية التي يجب أن تفي بها المؤسسة ويفي بها أيضا الشركاء التجاريون والمقاولون 
ومقدمو الخدمات الذين تتعامل معهم المؤسسة. ويحتاج ذلك إلى فهم وتحديد الاحتياجات 
والمتطلبات الأمنية الخاصة بالمؤسسة. 

يعد أيزو ۲۷٠٠۲‏ المعيار الأول من بين سلسلة من المعابير الدولية االمستهدفة من قبل 
المؤسسات التي تستخدم نظم الحاسب الآلي الداخلية أو الخارجية: أو التي تمتلك بيانات 
سرية أو تعتمد على تقنية المعلومات لتنفيذ أنشطة الأعمال الخاصة بهاء أو التي ترغب 
ساطة فى اععماد مستوى أعاى هن الأمان عن طريق التوافق مع الاحيار. ‏ وثاما كما أصبع 
الامتثال للعايير الأيزو ٠٠٠١‏ بمثابة ضمان الجودة: فإن التوافق مع معيار أيزو ١/٠١١‏ 
يمكن الشركاء من أن يكونوا على ثقة في مجمل العمليات الأمنية في المؤسسة. لا بد آن 
E‏ الامتثال معيار أيزو ۲ ف تعزيز مستوى الثقة المتبادلة بين الشركاء.ء حيث 
سکن لكل منهم إثبات أنه يتبع المعايير الأمنية المتوافقة مع مجموعة من المعايير المعترف 
بها والمعتمدة غايميا. عندما يزداد نطاق الامتثال لمعيار أيزو ۲۷٠٠۲‏ ويصبح أكثر شبوعاً 
وانتشاراء فمن الممكن أن يسهم ذلك في انخفاض أقساط التأمين ضد مخاطر الحاسب الآلي؛ 
إلا أنه من المؤكد سيوفر مستوى حماية أفضل للبيانات السرية ويحسن من ممارسات 
الخصوصية والامتثال لقوانين الخصوصية. يعد معيار أيزو ۲۷٠١۲‏ منهجية منظمة ومعترفا 
يعولا قاع اة عل وو دة أل ا ات مضفة وة 

ودعما لهذا المستوى الرفيع للمعيار الخاص بالضوابط الأمنية. فإن معيار أيزو ۲۷٠١٠‏ 
(27001 150) وهو ما تعرفه منظمة الأيزو على أنه "مواصفة" خاصة بنظام إدارة أمن 
تقنية المعلومات. بمعنى أنه قد تم تصميم هذا المعيار لقياس ومراقبة وضبط إدارة الأمن 
من منظور من أعلى إلى أسفلء إلا أن المعيار أيزو 27001 يوضح كيفية تطبيق معيار أيزو 
2 ويوضح بأن عملية تطبيق هذا المعيار الخاص بأمن المعلومات تتكون من ستة 
اجزاء: 
-١‏ تحديد السياسة الأمنية: ثمة عنصر أساسي في أي معيار هو الحاجة إلى بيان بالسياسة 

الرسمية معتمد من قبل الإدارة العليا. وسيتم قياس جميع جوانب التوافق الأخرى 

للمعيار مقابل هذا البيان الخاص بالسياسه. 
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معايير حوكمة تقنية المعلومات: أيزو ۹۰۰۱ و۲۷۰۰۲ ول١٠:86؟‏ 


۲- تحديد نطاق نظام إدارة أمن تقنية المعلومات IT security management‏ 
:system )115815(‏ 


يعرف معيار يزو ۲۷٠١۲‏ الأمن بعبارات فضفاضة قد لا تناسب أو لا تحتاج إليها جميع 
المؤسسات. فبعد أن قمنا بتعريف السياسة الأمنية رفيعة المستوى فإن المؤسسة تحتاج 

إلى تحديد نطاق نظام ادارة أمن تقنية المعلومات IT security management syste‏ 

(1152315) النشط الخاص بها. على سبيل ايلثال» يحدد معيار أيزو ۲۷۰۰۲ عنصرا من عناصر 

المتطلبات الأغنية كسصلات القيديو والضوت. وقد لآ دكون هذا خروريا لؤسمة محنة 

ومن ثم سيتم تحديد استبعادها فيما يتعلق بنطاق نظام إدارة أمن تقنية المعلومات 

(1151315) الخاص بها. 

۴- إجراء تقييم المخاطر: ينبغي على المؤسسة أن تحدد منهجية لتقييم المخاطر تناسب 
بيئة 115215 الخاصة بهاء وبعد ذلك تقوم بوضع معايير لقبول المخاطر وتحديد ما 
يمكن أن يشكل مستويات مقبولة من المخاطر. 

-٤‏ إدارة المخاطر: تعد هذه إحدى العمليات الرئيسية التي تشمل التحديد الرسمي 
للمخاطر وتحليل المخاطر وخيارات لمعالجة تلك المخاطر. وهذا العنصر الأخير يمكن أن 
يشمل تطبيق الضوابط ال مناسبة لتجنب المخاطر وقبول المخاطر واتخاذ خطوات أخرى 
لتجنبهاء أو نقل المخاطر إلى أطراف أخرى مثل شركات التأمين أو الموردين. 

۵- اختيار أهداف الرقابة والضوابط التي سيتم تنفيذها: تعد هذه الخطوة مشابهة 
جدا لإجراءات الرقابة الداخلية للإطار (0050) والتي تمت مناقشتها في الفصل الرابع 
من هذا الكتاب وكذلك عمليات الرقابة الداخلية في (كوبت) التي نوقشت في الفصل 
الاس هن هذا الكنان أا فلكل هدق امن الأهداف الرقابية اللعرفة, يجي غك 
المؤسسة أن تحدد الإجراءات الرقابية المناسبة له. 

- إعداد بيان الانطباق: تعد هذه الوثائق الرسمية ضرورية لانهاء عملية توثيق 1151/15. 
فمثل هذه الوثائق هي التي تطابق أهداف الرقابة مع الإجراءات الخاصة بإدارة 
وتنفيذ 1151/15. ) 
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وكما هو واضح من هذه الخطوات الست» فإن عملية تحليل المخاطر وتحديد السياسات 
الأمنية المتبعة يعد من الأمور الرئيسية الهامة بالنسبة لهذا المعيار الخاص بتقنية ا معلومات. 
ونظراً للقواعد الصارمة في حقوق النشر والتأليف الخاصة بالأيزوء فإننا لم نتمكن من إدراج 
مقاطع محددة من معيار أيزو ۲۷٠١١‏ في هذا الفصل. يتم عرض اللمعايير الفعلية للأيزو 
في نص محكم واضح لا لبس فيه. ويتم إضافة القليل من التفاصيل المحددة: إلا أن 
هناك ما يكفي للسماح للمؤسسة بتطبيق النظام الخاص بها لإدارة أمن تقنية المعلومات 
5. ويتم اختتام كل معيار بملحق يسرد إجراءات الرقابة الخاصة بتفاصيل كل هدف 
من أهداف هذا المعيار. ومع ذلك: لا ينبغي النظر إلى معيار أيزو ۲۷٠١٠‏ على أنه مجموعة 
شاملة من الإجراءات الرقابية التي سيتم تغبيرها بمجرد تغيير التقنية: وإنما هي عبارة عن 
خطوط عريضة للإطار الخاص بنظام إدارة أمن تقنية المعلومات 115215 والتي ينبغي 
تنفيذها ومراقبتهاء وصيانتها باستمرار. 

يعتبر كل من أيزو ۲۷۰۰۱ وأيزو ۲۷٠١۲‏ معايير عايلية تحتوي على مخططات جاهزة 
ومتعارف عليها للامتثال بها والحصول على شهاداتهاء خاصة ف المملكة المتحدة والاتحاد 
الأوروبي. وسيستمر كل منها في التطور ومواكبة التقنية والتوسع تبعا للتغيرات الأكثر 
شمولية. وتقوم هذه المعايير أيضا بتوفير الأساس اللازم لتحديد المعايير والممارسات الفعالة 
في أمن تقنية المعلومات. 


معبار أيزو "80٠٠‏ الخاص بحوكمة تقنية المعلومات: 

يتم تطوير معايير الأبزو ومن ثم إصدارها في المجالات التي تحتاج بشكل واضح إلى 
إرشادات تتعلق بأفضل الممارسات الموجودة على المستوى العالمي. في بعض الأحيان يتم 
إصدار هذه المعايير عندما يكون هناك حاجة تجارية ماسة لتوحيد المواصفات القياسية 
لمنتج ما. فمعيار أيزو الذي قمنا بالإشارة إليه مسبقا والذي يتناول موضوع حجم بطاقات 
الدفع الائتمانية الخاصة بالعميل يعد مثالا على ذلك. فقد قام مقدمو البطاقات الائتمانية 
في الأيام الأولى لها بإصدار بطاقات ذات أحجام وأنظمة ترقيم ومواصفات أخرى مختلفة. 
وبالمثل فقد كانت هناك حاجة إلى معايير خاصة بالعمليات التبادلية لتعزيز التجارة 
الإلكترونية»ء وبناء على ذلك تم إطلاق أحد معايير الأيزو الخاصة بهذا الشأن. في بعض 
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معابير حوكمة تقنية المعلومات: أيزو ۹۰۰۱ و۲۷۰۰۲ وءءهل؟ 


الحالات الأغرى مغل مسا الأدوو أفضل الكمارحات عندها ين القن ال بها خروريا 
لأغراض تجارية. ولعل حديثنا السابق عن معايير الأيزو ٠٠٠١‏ الخاصة بالجودة هو خر 
مثال على ذلك. تقرياً كل امسات تصني المتتجات اليو الني تر في اة غار 
الصعيد الدولي يجب أن يكون مشهودا لها بالتوافق مع معايير الأيزو ٠٠٠١‏ الخاصة بنظام 
إدارة الجودة. 

على الرغم من أن بعض معايير الأيزو ظلت معمولا ا وات عديدة: ون معار 
أيزو ۲۸٠٠١‏ الخاص بحوكمة تقنية ال معلومات يعتبر ندا كنا وقد تم إطلاقه في 
۸ بعد فترة طويلة من التطوير. كما أنه م يلق في الوقت الحاضر مستوى جيدا من 
الاهتمام الدولي» على الرغم من أن الإصدارات الجديدة المخطط لها للإطار كوبت» والذي 
تم الحديث عنه في الفصل الخامس من هذا الكتاب سوف تضم المبادئ الخاصة بمعيار أيزو 
. فبالإضافة إلى إطار الرقابة الداخلية (©050©).: الذي تم الحديث عنه في الفصل 
الرابع من هذا الكتاب» والإطار كوبت. والذي تناولنا الحديث عنه في الفصل الخامس 
من هذا الكتاب» وأفضل الممارسات للإطار آيتل الذي تحدثنا عنه في الفصل السادس من 
هذا الكتاب؛ فإن معيار أيزو٠ 80٠‏ يعد إطاراً آخر للمساعدة في دعم الممارسات الفعالة 
لحوكمة تقنية المعلومات الخاصة بمؤسسة ما. حتى الآن تم إطلاق المعيار على مستوى 
عال جدأ أما الأجزاء والإرشادات التفصيلية فمن المؤكد أنها ستأت لاحقا. يقدم هذا القسم 
صقا معيار أيزو 86٠١‏ وكيف هكن أن يساعد المؤسسة على وضع ممارسات فعالة 
لحوكمة عقنية اللعلومات: 


أهداف معبار أبزو TAO»‏ 

يوفر هذ المعيار إطارا من المبادئ الخاصة بكبار المديرين لاستخدامها عند تقييم 
وتوجيه ومراقبة استخدام تقنية المعلومات في مؤسساتهم. وهذا من شأنه أن يساعدهم 
على فهم الالتزامات القانونية والتنظيمية والأخلاقية المتعلقة باستخدام مؤسساتهم لتقنية 
المعلومات والوفاء بها. ويضم الإطار نموذجا للتعريفات والمبادئ والحوكمة ليحقق ثلاثة 
أهداف هي: 
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-١‏ توفير ضمانات لجميع أصحاب المصلحة في المؤسسة في أن يكون لديهم ثقة في حوكمة 

الشركات في الأمور التي تتعلق بتقنية المعلومات في مؤسساتهم. 
3 إعلام وتو حصك كبار الملديرين للتحكم ٤‏ استخدام تقنه املعلومات ق منظمتهم. 
۴- توفير أساس لتقييم أهداف حوكمة الشركات فيما يخص تقنية المعلومات. 

كما يهدف معبار أيزو TAQ‏ إلى إرشاد أولئك المشاركين ٤‏ ميم وتنفيذ نظم الإدارة 
العليا الخاصة بالسياسات والعمليات الفعالة التي تدعم حوكمة تقنية المعلومات. بمعنى 
أنه بينما تشير إرشادات هذا المعيار أكثر إلى مستويات الإدارة العلياء فإنه ينبغي على جميع 
المهنيين المشاركين في تصميم أو تنفيذ أو إدارة أو مراجعة عمليات تقنية المعلومات إعطاء 
بعض الاهتمام لمثل هذه المعايير الواسعة النطاق. 

يطبق هذا المعيار على حوكمة عمليات إدارة تقنية المعلومات وقراراتها التي يتم 
التحكم فيها إما من قبل المتخصصين في تقنية المعلومات داخل ال منظمة:؛ أو من قبل مقدمي 
الخدمات الخارجيين: أو من قبل وحدات العمل الأخرى ف المؤسسة. يهدف المعيار إلى 
تقديم دليل إرشادي للمتخصصين في تقنية المعلومات ليقوموا بتقديم المشورة أو تقديم 
المعلومات أو مساعدة كبار المسؤولين التنفيذيين» مثل: 

٠‏ أعضاء المجموعات التي تقوم مراقبة الموارد داخل المنظمة. 

٠‏ أخصائيي العمل الخارجي أو التقني مثل القانوني أو المحاسبي. 

« الأخصائيين: أو جمعيات تجار التجزئةء أو الهيئات المهنية. 

٠‏ بائعي الأجهزة والبرمجيات والاتصالات وغيرها من منتجات تقنية المعلومات. 

٠‏ مقدمي الخدمات الداخليين والخارجيين (متضمنا ذلك استشاريي تقنية المعلومات). 

إن النطاق والأهداف المشار إليها تكون كبيرة إلى حد ما بالنسبة لمعيار جديد وصغير 
نسبيا. ومع ذلك هناك بعض المبادئ العامة الرئيسية التي تم وضعها في النص الحالي 


۲1۸ دليل المسئول التنفيذي لحوكمة تقنية المعلومات 


معايير حوكمة تقنية المعلومات: أيزو ۹۰۰۱ و۲۷۰۰۲ و۴۸۵۰۰ 


الخاص بهاء ويمكننا أن نتوقع أن نرى تعريفات دعم وإرشادات أكثر تفصيلا لمعيار أيزو 
إ ف السنوات المقبلة. 


إطار عمل معيار أيزو 0٠٠‏ لحوكمة تقنية المعلومات: 

يحدد المعيار ستة مبادئ للحوكمة الرشيدة لتقنية المعلومات والتي يمكن تطبيقها على 
معظم المؤسسات. هذه المبادئ تعبر عن السلوك المفضل لتوجيه عملية صنع القرارات 
المتعلقة بحوكمة تقنية المعلومات. بمعنى أن البيان الخاص بكل مبدأ يشير إلى ما يجب 
أن يتم تنفيذه» لكنه لم يحدد كيف أو متى أو بواسطة من سيتم تنفيذ هذه المبادئ» إذ إن 
هذه الجوانب تعتمد على طبيعة المنظمة التي ستقوم بتطبيق تلك المبادئ: 

المبدأ الأول: المسئولية: يتعين على الأفراد والجماعات داخل المؤسسة معرفة وقبول 
مسؤولياتهم فيما يخص كلا من توفير وطلب خدمات وموارد تقنية المعلومات. فأصحاب 
المسؤوليات عن التدابن والأجراءات ملكون أيضا سلطة قنفيذ فلك القدابو والإأسراوات. 

المبدأ الثاني: الإستراتيجية: إستراتيجية عمل المؤسسة يجب أن تأخذ بعين الاعتبار 
القدرات الحالية والمستقبلية لتقنية المعلومات؛ حيث ينبغي على هذه الخطط الإستراتيجية 
لتقنبة المعلومات تلسة الاحتىاجات الحالية والمستمرة الخاصة بإستراتيجية عمل اللؤسسة. 

ا بدأ الثالث: الاقتناء: يجب أن تكون أسباب اقتناء عناصر وموارد تقنية المعلومات 
حقيقية ولها ما يبررهاء وآن تكون قانئمة على أساس عملية تحليلية مناسبة ومستمرة 
وجاءت نتيجة قرارات واضحة وشفافة. ويجب أن يكون هناك توازن مناسب بين المنافع 
والفرص والتكاليف وال مخاطر على ال مدى القصير والطويل. 

المبدأً الرابع: الأداء: يجب أن تكون تقنية المعلومات صالحة لأغراض دعم المؤسسة. 
وتقديم الخدمات» ومستويات الخدمة: وجودة الخدمات اللازمة لتلبية متطلبات المؤسسة 
الحالية والمستقبلية. 

المبدأً الخامس: الأداء: يجب أن تكون تقنية المعلومات متوافقة مع جميع القوانين 
واللوائح التنظيمية الإلزامية ومع السياسات والإجراءات المحددة والمطبقة والمفروضة 
بشكل واضح. 


دليل المسئول التنفيذي لحوكمة تقنية ا لمعلومات 1 


الفصل السابع 


ا لمبدأً السادس: السلوك البشري: يجب على سياسات وإجراءات وقرارات تقنية 
المعلومات أن تظهر احترامها للسلوك البشريء وأن تتضمن جميع الاحتياجات الحالية 
والمستحدثة للأشخاص ال معنيين في العملية. 

شكل توضيحي )٤-۷(‏ 


نموذج الأيزو 780٠٠‏ لحوكمة تقنية المعلومات المؤسسية 





بالإضافة إلى تلك المبادئ الأساسية: فإن المعيار يقدم أيضاً نموذجاً لحوكمة تقنية 
المعلومات. كما هو موضح في الشكل التوضيحي (/-6). فقد تم وصف العملية الشاملة 
لحوكمة تقنية المعلومات واحتياجات وضغوطات العمل التي تحتاج إلى بعض التغييرات 
والإجراءات في حوكمة تقنية المعلومات في مركز المثلث الموجود في الشكل التوضيحي .)٤-۷(‏ 
يوضح النموذج ضغوطات واحتياجات الأعمال التي تؤثر في العملية الخاصة بحوكمة تقنية 


+ دلبل اللسئتول التنفيذي لحوكمة تقنية المعلومات 





معابير حوكمة تقنية المعلومات: أيزو ۹۰۰۱ و۲۷۰۰۲ و۴۸۵۰۰ 


المعلومات. ثم تأت بعد ذلك عمليات الحوكمة لتهيمن على مجمل عمليات تقنية ا معلومات 
حيث تتأثر عمليات حوكمة تقنية المعلومات بالمقترحات المختلفة التي نشأت من تقنية 
المعلومات. كما تقوم عملية حوكمة تقنية المعلومات بتقديم الخطط والسياسات اللازمة 
لتقنية المعلومات. وتقوم إدارة تقنية المعلومات بأكملها بتقديم معلومات عن أداء وامتثال 
حوكمة تقنية المعلومات. وقد تم وصف العملية الأساسية الشاملة في فصول أخرى من هذا 
الكتاب» إلا أن أن معيار أيزو 780٠١‏ يقوم بعمل جيد في احتواء هذه المسألة. 

يوجد بداخل مثلث حوكمة تقنية المعلومات الموجود في الشكل التوضيحي (۷-٤)ء‏ ثلاث 
وظائف إجرائية هي التقييم والتوجيه والمراقبة. حيث يقدم معيار الأيزو تعريفا محددا 
لكل عملية من هذه العمليات على النحو التالي: 

.١‏ التقييم: يجب على كبار مديري تقنية المعلومات أن يقوموا بدراسة وإصدار 
القرارات المتعلقة بالاستخدام الحالي والمستقبلي لجميع موارد تقنية المعلومات. متضمنا 
ذلك الإستراتيجيات والمقترحات والترتيبات الخاصة بالإمدادات والتجهيزات (سواء كانت 
داخلية آم خارجية أو كليهما). أثناء تقييم استخدام تقنية ال معلومات» ينبغي على الإدارة أن 
تأخذ في الحسبان الضغوط الخارجية أو الداخلية الناشئة عن الأعمال: مثل توجهات التغير 
التقني أو التوجهات الاقتصادية أو التوجهات الاجتماعية» والتأثيرات السياسية. 

ويجب أن تقوم الإدارة العليا بإجراء هذه التقييمات باستمرار كلما تغيرت ضغوطات 
الأعمال. ويجب عليها أيضا أن تأخذ فى اعتبارها كلا من الاحتياجات الحالية والمستقبلية 
للأعمال - الأهداف التنظيمية الحالية واللستقبلية التى يجب تحقيقهاء مثل الحفاظ على 
اميزة التنافسية. فضلا عن أهداف محددة للإستراتيجيات والمقترحات التي يتم تشييمها. 

؟. التوجية: يجب على الإدارة العليا أن تقوم بتخصيص إدارة مسؤولة عن إعداد 
وتنفيذ الخطط والسياسات» ويجب أن تقوم بنفسها بالإشراف على هذه الإدارة. ويجب 
على هذه الخطط أن تحدد الاتجاه نحو الاستثمارات في مشاريع تقنية ا معلومات وعملياتها 
التشغيلية: ويجب أن تضع هذه السياسات أسلويا محددا وواضحا ق استخدام ققنية 
ا معلومات. 


دلبل المسئول التنفيذي لحوكمة تقنية المعلومات ا 


الفصل السابع 


وينبغي أن يضمن المديرون أن عملية الانتقال من المشاريع إلى الحالة التشغيلية يتم 
التخطيط لها وإدارتها بشكل سليم» مع الأخذ بعين الاعتبار التأثيرات ق ممارسات الأعمال 
والممارسات التشغيلية وكذلك النظم والبنية التحتية الحالية لتقنية المعلومات. 

يجب أن تشجع الإدارة العليا لتقنية المعلومات على ثقافة الحوكمة الرشيدة لتقنية 
المعلومات عن طريق اشتراط المديرين توفير المعلومات في الوقت المناسب» لتتوافق مع 
التوجه وتتماشى مع المبادئ الستة للحوكمة الرشيدة. 

*. المراقبة: ينبغي على الإدارة العليا أن تراقب» من خلال استخدام نظم القيا 
المناسبة:» الأداء العام لتقنية المعلومات. يجب أن يطمئنوا أنفسهم أن هذا الأداء يسير 
بحسب الخطط المعدة لذلك» وخاصة ما يتعلق بأهداف العمل. كما ينبغي على الإدارة 
أيضا التأكد من أن تقنية المعلومات تتوافق مع الالتزامات التنظيمية والقانونية والتعاقدات 
الخارجية ومع ممارسات الأعمال الداخلية كذلك. 


إرشادات لتطبيق معيبار أيزو :880٠٠‏ 

قامت منظمة الأيزو بنشر هذا المعيار ووضع المبادئ الست الخاضة به في النموذج 
الخاص بحوكمة تقنية ا لمعلومات لتقديم إرشادات أكثر تحديدا لحوكمة تقنية المعلومات. 
ويمكن شراء هذا الدليل الإرشادي وجميع التفاصيل المتعلقة بالمعيار أو تحميلها من الموقع 
الإلكتروني للآأبزو .(wwwiso.org/iso/catalogue_detail?csnumber=51639)‏ ولا 
تسمح لنا قوانين حقوق التأليف والنشر الخاصة بالأيزو بإعادة إنتاج هذه الإرشادات التي 
تم نشرها. ولكننا قمنا بتحرير واستخراج جزء صغير من هذه الإرشادات لتقديم بعض 
الرؤى عن قرب للمواد الفعلية. 

إذا أخذنا مبدأ الإستراتيجية, مثالا فإن هناك إرشادات لكل خطوة من الخطوات اللازمة 
لإجراء التقييم والتوجيه والمراقبة. وعلى الرغم من التغيرات التي طرأت على المعيار الفعلي. 
وبالتأكيد مم نقصد أن نشرح المعيار الفعلي لأيزو 280٠١‏ فإن ما يلي هثل إرشادات تتعلق 
بمبدأين من مبادئ ا معيار: 


معابير حوكمة تقنية المعلومات: أيزو ۹۰۰۱ و۲۷۰۰۲ و۴۸۵۰۰ 


« المبدأ الأول» إستراتيجية لتقييم ما ياي: 
- ينبغى على الإدارة العليا تقييم التطورات الحاصلة في عمليات تقنية المعلومات والأعمال 
لديها لضمان أن تقنية المعلومات سوف تقدم الدعم الكافي للاحتياجات المستقبلية 
للأعمال. 
- إذا أخذنا بعين الاعتبار الخطط والسياسات» فعلى الإدارة العليا تقييم أنشطة تقنية 
المعلومات لديها للتأكد من أنها تنمافى مع أهداف المؤسسة تبعا للظروف المتغيرة, 
وتأخذ في الحسبان ممارسات أفضلء وتلبي المتطلبات الرئيسية الأخرى لأصحاب 
المصلحة. 
٠‏ المبدأ الثاني» إستراتيجية لمراقبة ما يلي: 
- يجب أن تقوم الإدارة العليا بمراقبة التقدم المحرز في المقترحات التي تمت الموافقة عليها 
لضمان أنها تحقق الأهداف في الأطر الزمنية المطلوبة باستخدام الموارد المخصصة. 
- يجب أن تقوم الإدارة العليا بمراقبة استخدام تقنية ا لمعلومات لضمان تحقيقها للفوائد 
ا مرجوة. 
ويستمر ال معيار باستخدام هذه اللغة العامة دون وجود أي قواعد محددة أو إجراءات 
تفصيليةء بل هناك فقط بعض الإرشادات العامة الجيدة. لكن عندما يدعو المعيار الإدارة 
العليا "لمراقبة التقدم المحرز في المقترحات التي تمت الموافقة عليها لضمان تحقيقها للأهداف 
للموافقة على مشروع وبرنامج تقنية المعلومات وتخطيط للمشروع مع وضع الأطر الزمنية 
ومجرد مراجعات منتظمة من قبل الإدارة العليا. إن إدارة التدقيق الداخلي في المؤسسة. 
كما ذكرنا في الفصل التاسع عشر من هذا الكتاب» يمكن أن تكون بمثابة الخبير الاستشاري 
الداخلي الذي يساعد في تنفيذ هذه الإرشادات الخاصة بال معيارء ويتحدث الفصل السادس 
عشر من هذا الكتاب» على سبيل المثال: عن أهمية إجراءات إدارة المشروعات. 
هناك العديد من المعايير الأخرى لنظمة الأيزو قابلة للتطبيق في هذا المجالء إلا أن 
المعيار أيزو ۳۸٥٠١‏ يمكن أن يساعد ويقوي الحوكمة الشاملة لتقنية المعلومات المؤسسية. 


دليل المسئول التنفيذي لحوكمة تقنية المعلومات عم 


الفصل السابع 


وقد قام العديد من المديرين برفض بعض هذه المعايير لأنها كما يبدو تتطلب وثائق أو 
أعمالا ورقية مكثفة أكثر من اللازم. بمعنىء إذا كان المعيار يقول: إن «على الإدارة أن 
تتابع» عملية أو نشاطا ماء فإن جماعة المؤسسة التي تدعم هذا المجال يجب أن تكون في 
وضع يمكنها من إظهار نشاط المتابعة هذا من خلال مستوى معين من التوثيق. وبالتأكيد 
فإننا لا نقصد الحديث عن خزائن من العمل الورقي» ولكن نتحدث عن بعض أشكال الأدلة 
الإلكترونية القابلة للاسترجاع. لقد مرت العديد من مؤسسات اليوم والتي تقوم بتقديم 
منتجات أو خدمات في الأسواق العالمية من خلال عملية التدقيق الخارجي للأيزو للتصديق 
على امتثالها مع معايير الأيزو .٠٠٠١‏ وقد نرى في السنوات القادمة متطلبات امتثال 
مقابية كعايير الأيزو الخاصة يحوكدة كقنية الاعلومات عندما قضيم أكثر اشارا وشو 


ملاحظات: 

-١‏ وليام إدواردز دمينج (18 اكور 8-593 ف نتخیر 0۹۹٣‏ کان اخضاشا وأستاذا 
ومؤلفاء ومحاضرا وأستشاريا أمريكياء ورا كان الأكثر شهرة بالنسبة لمجال عمله في 
اليابان» غير أنه كان زعيم حركة الجودة على مستوى العاط. 

Norman Ho, “ISO 9000: No Longer a Stranger to Service, Gartner, WWW. - 7 
qualitydigest .com/june99/html/body_iso_9000.html 


الفصل الثامن 
قضايا حوكمة تقنية المعلومات: إرشادات حول إدارة المخاطر 
وإدارة المخاطر المؤسسية الصادرة عن لجنة المنظمات 
الراعية (151231 005©0©) والمجموعة المفتوحة للامتثال 
والأخلاقيات (©:001) 


تعد إدارة المخاطر أحد المفاهيم المرتبطة بالتأمين» فقد يتصور الفرد أو المؤسسة أن هناك 
نوعا ما من التهديد. مثل خطر اندلاع حريق في أحد المباني السكنية أو سرقتة: وعندها يقوء 
باتخاذ الإجراءات اللازمة لتوفير الحماية حال وقوع ذلك التهديد. إن الأسلوب الأكثر شيوعا 
للحماية من المخاطر هو شراء تأمين من أحد الموردين الخارجيين التجاريين: أو تركيب آليات 
حماية للوقاية من المخاطر نوعا ما. ويتم ذلك باستخدام نهج قائم على المخاطر لتحديد 
نوع التأمين ومقداره الذي يتم شراؤه أو نوعية الحماية اللازم توفيرها. وتعتمد العوامل 
الرئيسية لاتخاذ القرار هنا على حجم المخاطر أو التهديدات الأخرى المحتملة؛ كما تعتمد 
على تكاليف التأمين والأجهزة الوقائية اللازمة للحماية من تلك المخاطر. 

وعلى الرغم من اعتقاد الناس في أغلب الأحيان بأن المخاطر والحماية الوقائية مرتبطة 
فقط بتهديدات كالحرائق أو الكوارث الطبيعية أو السرقة: فإن المؤسسة تكون في حاجة إلى 
أن تنظر إلى المخاطر من منظور أوسع من ذلك بكثيرء وقد يشمل ذلك أمورا مثل الإخفاق 
في أحد المشاريع التجارية الجديدة أو الدعاوي الجنائية الناجمة عن عدم نجاح المنتج أو 
حدوث تحولات اقتصادية سلبية غير متوقعة. ولا تستطيع ا مؤسسة الحصول على تأمين - 
فعال وجيد من حيث التكلفة - بتلك السهولة لتغطية تلك المخاطر الأخرى فحسبء بل قد 
تحتاج إلى تنفيذ عمليات أخرى لتوفير الحماية من تلك المخاطر العديدة والمتنوعة الخاصة 
بالأعبال: وكين 5 الاعلونات KK‏ أحن 151 لالت الرئنسية ةا 
للمخاطر» حيث تمثل الخسارة المادية ممعدات تقنية المعلومات أو الاضطراب في شبكة 
الاتصالات أو سرقة مصادر البيانات أحد المخاطر الأساسية التي تهدد المؤسسة وقد يتبعها 


دلمل المستول التنفيذي لحوكمة تقنية اللعلومات 8م 


الفصل الثامن 


عواقب وخيمة ما تكن هناك إدارة مناسبة للمخاطر وأدوات إصلاح قائمة ومعمول 
بيا. 

يناقش هذا الفصل أدوات إدارة المخاطر وتقنياتها من حيث أهميتها بالنسبة لحوكمة 
تقنية المعلومات» كما يقوم أيضا باستعراض بعض أساسيات إدارة المخاطر التي يجب أن 
تمثل إحدى المجالات ال معرفية المهمة لدى جميع مديري المؤسسات. ثم يقدم هذا الفصل 
بعد ذلك إطار إدارة المخاطر المؤسسية الصادر عن لجنة المنظمات الراعية (/1:11 605©0).: 
وهو إطار متخصص ف إدارة المخاطر ا للمؤسسية صادر عن لجنة المنظمات الراعية (©0050©) 
حيث يشبه إطار الرقابة الداخلية الصادر عن لجنة المنظمات الراعية (6050) - الذي 
تم عرضه في الفصل الرابع من هذا الكتاب - إلا أن أهدافه مختلفة. 


ويُختتم هذا الفصل بمقدمة عن نموذج الحوكمة وإدارة المخاطر والامتثال (6120 
22061 التابع للمجموعة المفتوحة للامتثال والأخلاقيات (00070).: مع التركيز على معايير 
إدارة المخاطر الخاصة بهذا النموذج. وتعمل المجموعة المفتوحة للامتثال والأخلاقيات 
(©0058) وفق مجموعة من المعايير الصناعية التي قامت ببناء موذج قدرة الحوكمة 
وإدارة المخاطر والامتثال (7220061 ,انان همه 6R‏ ) الذي يركز بشكل قوي على إدارة 
المخاطر المؤسسية. وقد قامت هذه اللجموعة (©0010) بإطلاق مجموعة من المواد 
الخاصة بأفضل الممارسات في مجال الحوكمة وإدارة المخاطر والامتثال (©616). إلا أنها م 
تكن بأهمية المعابير نفسها الخاصة بأحكام قانون ساربينز-أوكساي (SOx instructions)‏ 
أو معايير أيزو. وقد تم مناقشة كل منهما في فصول سابقة. ومع ذلك فقد تحظى 
هذه المجموعة باعتراف وقبول عام في عام الصناعة قريباء وقد يكون الامتثال لمعايير تلك 
المجموعة أحد الأمور الهامة لحوكمة تقننة المعلومات. 


أساسيات إدارة المخاطر: 

سواء تم شراء وثيقة تأمين ضد الحريق لمرفق جديد بأحد المباني أم تم تثبيت أدوات 
وقائية لمشروع تجاري جديد أو شراء مستوى مناسب لا يعرف بالتأمين على مسئوليات 
المديرين وكبار المسؤولين ف المؤسسة: فعلى الإدارة العليا أن تدرك أنها تتعامل مع مجموعة 


قضايا حوكمة تقنية المعلومات 


متنوعة من المخاطر ال مؤسسية التي يجب فهمها وإدارتها بشكل مناسب. ويجب التفكير 

في إدارة المخاطر على أنها عملية من أربع مراحل هي: 

.١‏ تحديد المخاطر: تحتاج المؤسسة إلى تحديد القضايا والظروف التي يمكن أن تصبح 
مخاطر مؤثرة في عمليات التشغيل الخاصة بها. 

؟. التقيبمات الكمية أو النوعية للمخاطر الموثقة: الخطوة التي تلي مرحلة تحديد 
المخاطر المحتملة. وهي توظيف الأدوات لتقدير الآثار المحتملة حال وقوع أي من هذه 
المخاطر المحددة. 

.٠‏ تحديد أولويات اللخاطر وتخطط الاستجابة لها؛ يجب أن تعطى الأولوية للمخاطر 
الأكثر تأثيرا من بين اللخاطر التي تم تحديدهاء كما ينبغي وضع خطط استجابة لهذه 
المخاطر حال وقوعها. 

.٤‏ متابعة المخاطر: ينبغي وضع عمليات مستمرة لتقييم الأوضاع الحالية للمخاطر 
المحددة مسبقا أو مخاطر جديدة واتخاذ الإجراء المناسب حال وقوع تلك المخاطر 
وتقييم التقدم المحرز في تلك الإجراءات العلاجية. 


وينبغي أن تكون إدارة المخاطر عملية تتم على مستوى المؤسسة بأكملهاء وتشمل جميع 
الأشخاص على المستويات كافة وفي جميع وحدات المؤسسة. وبينما تحتاج المؤسسات 
الكبيرة إلى تشكيل فريق متخصص في إدارة ال مخاطرء فإنه يجب على ال مؤسسات الصغيرة 
تعيين أشخاص ليكونوا مسئولين عن إدارة عملية تقييم المخاطر على مستوى مؤسستهم. 
فسواء تمت عملية إدارة اللخاطر من خلال إدارة رسمية أم بجهود غير رسمية تخدم هذا 
الغرضء فإنه ينبغي أن تشمل إدارة المخاطر في المئؤسسة طائفة عريضة من الناس من 
مستويات تنظيمية مختلفة في المؤسسة. فقد تكون وجهة نظر المدير المالي التنفيذي حول 
بعض مخاطر النظم المتعلقة بتقنية المعلومات مختلفة عن وجهة نظر المدير التنفيذي 
للمعلومات (10©) أو أحد أعضاء الطاقم الخاص بعمليات تشغيل تقنية المعلومات. فكل 
منهم يرى ال مخاطر من وجهات نظر مختلفة. وينطبق هذا التشبيه ذاته على جميع جوانب 
اا 


دلبل المسئول التنفيذي لحوكمة تقنية المعلومات الشف 


الفصل الثامن 


ويجنب قطبيق غملية إدارة المخاطر ذات الراحل الأربعة ابلذكورة سسابقا على جميع 
مستويات المؤسسة ومشاركة مختلف الأشخاص. فسواء كانت المؤسسة صغيرة بها القليل 
من المرافق وتقع في منطقة جغرافية محدودةء أم كانت مؤسسة عالية كبيرةء فإنه ينبغي 
فظوير اف اليب غاد اة اللحاظى وك هده الحطلية ميعة محصوضا للف كات الخالية 
المنتتشرة بكثرة هذه الأيام» وهي التي تحتوي على العديد من وحدات التشغيل ال مرتبطة 
بعمليات التشغيل والمرافق المختلفة الكائنة في مختلف البلدان. وقد تؤثر بعض مخاطر 
وحدة تشغيلية محينة في مخاطر وحذة تشغيلية أخرى أو تكون مرتبظة بها بشكل.مباشر: 
غير أن الاعتبارات الخاصة بمخاطر أخرى قد تكون مستقلة بشكل فعال عن باقي المخاطر 
جنيعا. اومن أن تقم هذه فاط الشركة يسبيب تواقر مجمموعة مخظفة: وكريزة عق 
الظروف تبدأ بقرارات مالية ضعيفة إلى تغيرات في مدى تجاوب المستهلكين مع اللوائح 
السكوفبة اليد تسد العمليات: القحاقة لزذارة انفاظر من العناصر الموعة لحو كية 
فعالة لتقنية المعلومات. 


تحديد المخاطر: 

في الوقت الذي يتم فيه التركيز على حوكمة تقنية المعلومات وال مخاطر المتعلقة بتقنية 
المعلومات» ينبغي مع ذلك تركيز الإدارة العليا على كل المخاطر التي قد تواجه المؤسسة: 
سواء تلك المتعلقة بتقنية المعلومات أم غيرها. كما ينبغي أن تسعى الإدارة إلى تحديد 
جميع المخاطر المحتملة التي قد تؤثر في نجاح المؤسسة: بدءا من المخاطر الأكبر أو الأكثر 
تأثيرا بالنسبة لقطاع الأعمال بكاملهاء وانتهاءً بالمخاطر الأقل أهمية وهى المرتبطة بالمشاريع 
الفردية أو بوحدات الأعمال الأصغر حجما. كما تحتاج عملية تحديد المخاطر إلى اتباع 
نهج مدروس للنظر في المخاطر المحتملة في كل مجال من مجالات العمليات التشغيلية 
ومن تحديد مجالات المخاطر الأكثر تأثيرا والتي يمكن أن تُوّثر في كل عملية خلال فترة 
زمنية معقولة. ليس المقصود بالفكرة هنا مجرد سرد جميع المخاطر ايلحتملةء وإنما تحديد 
المخاطر التي قد تؤثر إلى حد ما في عمليات التشغيل خلال فترة زمنية معقولة. وقد تكون 
هذه ممارسة صعبة لأننا في كثير من الأحيان لا نفهم جيدا احتمالات وقوع المخاطر أو 
فة عواقن عواحية اللؤيسة للك الغا 


قضايا حوكمة تقنية المعلومات 


يوجد لدى بعض المؤسسات وظيفة مدير تنفيذي للمخاطر يكون مسئولا عن عمليات 
إدارة المخاطر في المؤسسة. ويتعين على الإدارة العليا حال غياب هذه الوظيفة أن تبني 
فريقاً خاصاً بإدارة المخاطر سواء كان ذلك بشكل رسمي أم غير رسمي» وذلك بهدف إدارة 
عمليات إدارة المخاطرء لديها. كما يجب أن يضم هذا الفريق جميع العناصر الهامة في 
المؤسسة ومن ضمنهم أعضاء من التدقيق الداخلي والإدارة القانونية والمكاتب الإدارية 
الرئيسية لقيادة الأنشطة الخاصة بإدارة المخاطر. 


كما يجب إتمام عملية تحديد المخاطر التي يقوم بها فريق إدارة المخاطر على مستويات 
متعددة في المؤسسة. فال مخاطرة التي يكون لها تأثير في وحدة أعمال منفردة أو مشروع 
مستقل قد لا يكون لها تأثيرٌ كبيرٌ في المؤسسة بأكملها أو خارجها. وعلى العكس من ذلك 
فإن إحدى المخاطر الرئيسية التي تؤثر في الاقتصاد بأكمله هتد تأثيرها ليصل إلى المؤسسة 
الفردية ووحدات الأعمال المنفصلة التابعة لها. كما قد تكون بعض ال مخاطر الكبرى نادرة 
الحدوث: إلا أنها قد لا تزال كارثية بدرجة تجعل من الصعب تحديدها كحدث مستقباي 
وارد الحدوث. 

إن الطريقة الجيدة لبدء عملية تحديد المخاطر على مستوى المؤسسة هي وضع مخطط 
هيكاي تنظيمي رفيع اللمستوى للمؤسسة يسرد ال مستوى المؤسسي ووحدات التشغيل. وقد 
يكون لكل وحدة من هذه الوحدات مرافق في مواقع عالمية متعددة: كما قد تتكون 
أيضا من عمليات تشغيل عديدة ومتنوعة. ويكون لكل مرفق منفصل بعد ذلك إداراته 
أو وحداته الخاصة به. وقد تكون بعض هذه المرافق المستقلة مرتبطة بعضها مع بعض 
بشكل وثيقء في حين ثل البعض الآخر ما يتجاوز بقليل الاستثمارات التي تعكس التقارير 
المالية في المؤسسة. وقد يكون من الصعب والمعقد في بعض الأحيان إطلاق مبادرة على 
مستوى اللؤسسة لتحديد جميع المخاطر في مختلف مجالاتها المستقلة. إن هذا النوع من 
الممارسات يمكن أن يحقق أحيانا نتائج مثيرة للاهتمام و/أو مثيرة للقلق. فعلى سبيل المثالء 
قد تكون الإدارة على مستوى الشركة على علم ببعض مخاطر ال مستولية القانونية عن المنتج» 
إلا أن مشرف الخطوط الأمامية في وحدة التشغيل قد ينظر إلى المخاطر نفسها من منظور 


دليل المسئول التنفيذي لحوكمة تقنية امعلومات ۲۹ 


الفصل الثامن 


كما بنظر أعضاء المؤسسة على مختلف المستويات إلى بعض هذه المخاطر ذاتها من 
وجهات نظر مختلفة. فمدير التسويق قد يشعر بالقلق إزاء إستراتيجيات التسعير الخاصة 
با منافس أو المخاطر الخاصة بأنشطة التسعير التي من شأنها أن تضع المؤسسة في موضع 
انتهاك للقوانين الخاصة بضبط التبادل التجاري. وقد يشعر مدير تقنية المعلومات بالقلق 
إزاء مخاطر فيروسات الحاسب أو هجوم البرمجيات الخبيثة على نظم التطبيقات؛ لكنه 
سيحتفظ بقليل من المعرفة عن تلك المخاطر الخاصة مسألة التسعير. تكون الإذارة العليا 
عادة على علم بمستوى مختلف ومجموعة مختلفة من المخاطر أكثر من تلك ال موجودة في 
أذهان فريق العمل المخصص للقيام بعمليات التشغيل. ومع ذلك» يجب على الأقل تحديد 
كل هذه المخاطر والنظر إليها على أساس وحدة تلو الأخرى وعلى مستوى المؤسسة بالكامل. 

وحتى تكون عملية تحديد المخاطر فعالة» يتطلب الأمر أكثر بكثير من مجرد إرسال 
رسالة بريد إلكتروني إلى جميع مسئولي وحدات التشغيل مع طلب سرد المخاطر الرئيسية في 
الوحدات التشغيلية الخاصة بهم؛ فمثل هذا الطلب عادة ما ينتج عنه عددّ كبيرٌ من الإجابات 
المتعارضة في ظل عدم وجود نهج مشترك. إن أفضل نهج في ذلك هو تحديد أشخاص من 
مختلف مستويات المؤسسة يُطالبُون بأن يكونوا بمثابة مقيمين للمخاطر. لذلك ينبغي تحديد 
الأشخاص الرئيسيين من داخل كل وحدة من وحدات التشغيل والإدارة المالية وإدارة تقنية 
المعلومات وإدارة وحدة الأعمال. ويكون هدفهم خا هو تحديد المخاطر في وحداتهم 
ثم المساعدة في تقديرهاء تلك المخاطر التي تقع حول إطار نموذج تحديد المخاطر. ويمكن 
أن يقود هذا النوع من ال مبادرات مجموعة خاصة بإدارة المخاطر على مستوى المؤسسة: إن 
وجدت» أو يضاف ضمن مهام إدارة تقييم الضوابط الداخلية مثل التدقيق الداخلي. 

ولعل أحد الأساليب الفعالة هنا هو تحديد بعض مجالات مخاطر "المغالطة البهلوانية"7 
Straw 1‏ العالية المستوى التي قد تؤثر في وحدات التشغيل المختلفة. ويمكن للأشخاص 
ذوي المعرفة بعد ذلك أن ينظروا في هذه المخاطر القائمة على الإفتراضء كما مكنهم أيضا 
توسيعها بإضافة المزيد من المخاطر إليها أو التعديل عليها إذا اقتضى الأمر ذلك. ويوضح 
(*) المغالطة البهلوانية أو رجل القش هي إحدى الادعائات القائمة على تحريف الموقف المعارض» بتفنيد شكل 

الحجة بحيث يوحي أن الحجة المعاكسة صحيحة. ويقصد بها هنا تحديد المخاطر المحتملة من وجهة نظر 

فعينة مون كعاب شرام ذلك #أساين عطاق هه ورش عمل ينع ايها بين اكيت بوذا الأ العمل خن 

"رجحل القش" هذا نحو ما يعتقدون أنه اللخاطر اللحتملة (امترجم). 


قضايا حوكمة تقنية المعلومات 


الشكل التوضيحي )١-۸(‏ مثالا لعينة من إطار عمل نموذج المخاطر المؤسسية: فهو يسرد 
بعض مجالات المخاطر الرئيسية التي قد تؤثر في المؤسسة. مثل المخاطر الإستراتيجية 
ومخاطر عمليات التشغيل وال مخاطر الالية. وتعد تلك العينة أحد أنواع القوائم عالية 
المستوى التي قد يتعجل الرئيس التنفيذي بوضعها ردا على سؤال يطرحه أصحاب المصالح 
خلال الاجتماع السنوي مثلء "ما الذي يقلقك نهاية اليوم 9 ' لكنه بالتأكيد لا يسرد جميع 
المخاطر التي تتعر عورش أيا اا ق وها تة ا و غا عن أنواع القوائم الأولية التي يمكن 
للمؤسسة استخدامها للبدء في عملية تحديد المخاطر تفضيليا: ويمكن أن يجتمع المسئولون 
في المؤسسة - وغالبا يكون الفريق المعين لإدارة المخاطر - مع الإدارة العليا ويقومون بطرح 
بعض الأسئلة من نوعية "ما يقلقك؟ ..." لتحديد تلك المخاطر العالية المستوى. 

إن هذا النموذج العام الذي يتعلق با مخاطر العالية المستوى على وجه الخصوص يمكن أن 
يحل ی ی ا للتسةة عل عو افق دن 
سبيل الممثال» يقوم النموذج بإدراج "مخاطر استمرا رية الأعمال" تحت "المخاطر التقنية". 
وينبغي أن يكون مدير تقنية المعلومات قادرا على توسيع هذه المخاطر لتكون في شكل 
قائمة طويلة من المخاطر التقنية التفصيلية المتعلقة باستمرارية الأعمال والتعافي من كوارثها. 
ويُعد مدير عمليات التشغيل هو مستخدم موارد تقنية المعلومات الذي قد ينظر إلى مخاطر 
استمرارية الأعمال من وجهة نظر مختلفة جدا ويعرض مخاطر أخرى جديدة مرتبطة ا قد 
يحدث إذا 3 تتح خدمات تقنية المعلومات. ولفهم أفضل للمخاطر التي تواجه المؤسسة: فإنه 
كق سن الأقضل غالا توسيع تلك القوائم لوضع مجموعة أكثر اكتمالا للمخاطر المحتملة. 


التقييم الكمي أو النوعي للمخاطر: 

نشير هنا إلى خطوة هامة للغاية في عملية تقييم المخاطر وهي أخذ جميع المخاطر 
المحددة وترتيبها من حيث تأثيرها واحتمالية حدوثها. حيث توجد العديد من الطرق 
الرسمية التي يمكن استخدامها هنا وتكون غالباً معقدة رياضيا ولأننا لا نقوم بتحليل 
محطة توليد كهرباء ممولة من الحكومة أو ها ابه ذلافه فان اللؤمسسة ككون غالا أفضل 
جلا إذا ما الى مكمه تيه سا وضباكرا لتقييم المخاطر بحيث يفهمه جميع أعضاء 
فريق الإدارة العليا المسئولة عن عملية إدارة المخاطر الخاصة بهم ويقبلونه. 


دلبل المستول التنفيذي لحوكمة تقنية المعلومات ۲۳١‏ 


الفصل الثامن 


شكل توضيحي (۱-۸) 
أنواع مخاطر الأعمال اللؤسسية 
ظ 
خارف 


3 مخاطر حمابية براءات الاختراع / 
العلامات التجارية 


| _مخاطر الخزينة __ | هخاطر ائتمانية 


السذاذ) 








مخاطر قي الدا._ أ مخاطر استعاية لال 
أه مخاظر إعداد التقارير اطالية ٠‏ مخاطر سلامة الموظف ٠|‏ مخاطر الإتاحة 
pga! 2-6‏ 


٠ |‏ مخاطر إعداد التقارير الرقابية 


عاش تان ا 3 بي __ أ مخاطر الوصول إلى المعلومات | 





وكما أوضحنا قبل قليل: فأنه يجب أولا على المؤسسات ووحدات تشغيل الأعمال التابعة 
لها تحديد جميع ال مخاطر المؤثرة التي تواجه المؤسسة بكاملها. وينتج غالبا عن هذه 
الممارسة الخاصة بتجميع قائمة كهذه مجموعة كبيرة من المخاطر المختملة يكون بعضها في 
كثير من الأحيان خارج نطاق فهم الإدارة العليا أو تقديرها. فمدير تقنية المعلومات» على 
سبيل ال مثال» قد يسلط الضوء على أحد المخاطر في إستراتيجية البنية الموجهة نحو خدمات 
تقنية المعلومات في المؤسسة: كما أوضحنا في الفصل الثالث عشر من هذا الكتاب» وهو 
الأمر الذي قد لا تفهمه أو تقدره السلطة التنفيذية للمؤسسة. وهنا يمكن لإدارة تقنية 
المعلومات أن تتقصى مدى تأثير هذه المخاطرة وسبب المطالبة بمزيد من الموارد للتصدي 
لها. وعلى أية حال» يجب أن تحتفظ الإدارة العليا بنهج توافقي تنظر من خلاله إلى مثل 
تلك المخاطر وكذلك إلى التكاليف المرتبطة بوضع الإجراءات التصحيحية لها. وبعد ذلك 
يجب عليهم موازنة هذه المخاطرة مع العديد من المخاطر الأخرى التي قد تم تحديدها. 

وعلى الرغم من أن هناك العديد من الأساليب الرسمية المنشورة والخاصة بالعملية 
الرسمية لتحليل المخاطرء فإن المؤسسة تحتاج إلى نهج بسيط لكنه دقيق لتنظر من خلاله 
في جميع المخاطر التي تم تحديدها لتقرر أي منها يحتاج إلى إجراءات تصحيحية ومتابعة. 
ويمكن استخدام مجموعة متنوعة من الأساليب» تمتد من النهج الكيفي السريع نسبيا القائم 
على التخمين الأفضل وصولاً إلى بعض الأساليب الكمية التفصيلية والرياضية الخالصة. وتتضح 
الفكرة الكلية هنا في مساعدة الإدارة على اتخاذ قرار أفضل فيما يتعلق بأي من تسلسلات 
الأحداث المحتملة المحفوفة با مخاطر التي قد تمثل القلق الأكبر لإدارة المؤسسة. 


دلبل المسئول التنفيذي لحوكمة تقنية المعلومات قشف 


الفصل الثامن 


إن النهج البسيط الذي يكون فعالا غالبا هو تبني قانمة المخاطر السابق مناقشتها 
وتعميمها على جميع المشاركين: ويتم في ذلك تحديد المخاطر أو غيرها من خلال استبيان 

يسأل عن كل مخاطرة من تلك المخاطر: 

٠‏ ما مدى احتمالية حدوث مخاطرة ما خلال السنة القادمة تحديدا؟ مستخدماً الدرجات 
من 1-١‏ قم بوضع درجة من رقم واحد لأفضل تخمين على النحو التالي: 

٠‏ الدرحة ١‏ اذا كنت لا ترى تقر شا أي فرصة لحدوث هذه المخاطرة خلال تلك الفترة. 

ه الدرجة ٩‏ إذا كنت تشعر أن هذا الحدث سيحدث بشكل شبه مؤكد خلال تلك الفترة. 

٠‏ الدرجات من ۲ إلى ۸ تعتمد على شعورك بأن الاحتمالية تقع بين هذين النطاقين. 

ه ما مدى تأثير المخاطرة من حيث التكلفة على المؤسسة؟ مرة أخرى باستخدام المقياس 
من ١-إلى-4:‏ ينبغي أن تعتمد نطاقات الدرجات على التأثير المالي للمخاطرة في المؤسسة. 
فالمخاطرة التي يمكن لتكاليفها أن تخفض أرباح المؤسسة حتى سنت واحد للسهم قد 
تكون مؤهلة للحصول على أقصى درجةء 5. 
ويجب توزيع الاستبيانات الخاصة بهذا النهج المبسط بشكل مستقل على الأشخاص 

ذوي ال معرفة لتقييم كل مخاطرة من المخاطر التي تم تحديدها بالنسبه لهذين المقياسين 
(احتمالية الحدوث والتأثير) أو وضع درجة لها. ومثالا على ذلك لنفترض أن المؤسسة قامت 
بتحديد ستة مخاطر من م-١‏ إلى م-1. وأنه يطلب من أعضاء الفريق الخاص بتقييم المخاطر 
إجراء تقييم منفصل لكل مخاطرة من تلك المخاطر على حدة من حيث مقاييس احتمالية 
الحدوث والتأثير. بعد ذلك ومن خلال تطبيق هذين العاملين يحسب متوسط هذه 
الدرجات» كما يتم رسمها على مخطط الرسم البياني» ذي الأجزاء الأربعةء الخاص بتحليل 
تقييم المخاطر كما هو مبين في الشكل التوضيحي (۲-۸). حيث يُظهر أن م-١‏ لها متوسط 
درجة احتمالية حدوث نحو ۳,۷١‏ ودرجة تأثير ۷,٠١‏ ويتم رسم هذه الدرجة في الربع الأول 
من المثال الخاص بمخطط تحليل تقييم المخاطر. ويدل هذا على أن م١‏ ته تعتبر مخاطرة 
مؤثرة ا لكن احتمالية حدوتها بعيدة جد 


قضايا حوكمة تقنية المعلومات 


ويجيبا رسم جمیع المخاطر التي يكم تحديدها بهذه الطريقة. فا مخاطر ذات احتماليه 
حدوث عالية وأكثر اتا التي تنتهي ف الربع الثاني» يحب أن تلقي المزيد من الاهتمام 
الفوري من قبل الإدارة. 


شكل توضيحي (8-؟) 





التأثير 


راف 2 ١خ‏ 3-4 ٠‏ ) 
ا ر 


وتعد النطاقات من ١‏ إلى ٩‏ هنا اعتباطية جدا؛ لذا ينبغي أن تحدد المؤسسة بعض 
الخطوط الإرشادية النسبية: لكن يجب على الموظفين فقط تقبيم الأمور وفق رؤيتهم 
لاحتمالية الحدوث والتأثير النسبي للمخاطر التي تم تحديدها. كما يقدم هذا المخطط 
الباق اللعاص بتعليل تبيخ اللشاطر عقياسَا كيقياجيدا لقويم للحاطر اللؤقرة اة 
بامؤسسة. 

إن ما قامت به عملية تقييم المخاطر لا يتعدى وصف الأعمال التي تحتاجها المؤسسة 
عندما تقوم بتحديد عدد قليل نسبيا من ا مخاطر بشكل جيد. فمن السهل تماما أن ننظر 
إلى الرسم البياني الخاص بتحليل تقييم المخاطر والتركيز على المخاطر العالية الاحتمالية 


دليل المسئول التنفيذي لحوكمة تقنية المعلومات ۲۳0 


الفصل الثامن 


والتأثير في الربع الثاني - الأمن العلوي - للتركيز على وضع خطط الإصلاح لتلك المخاطر. 
وعلى أية حال: فإنه في كثير من الأحيان» إذا كانت المؤسسة قد حددت مجموعة أكبز يكثير 
من المخاطر المحددة ومن النطاقات (من )4-١‏ وكذلك المخططات في مثال الرسم البياني» 
فإن الرسم البياني لن يوفر تفاصيل كافية. ومن ثم فالنهج الأفضل هو التعبير عن هذه 
التقديرات المهمة وال مؤثرة بدلالة عدد مكون من رقمين يمثل تقدير نسبة مئوية (على 
سبيل المثال» "/ا#) من تحقيق مخاطرة ما أو احتمالية (على سبيل المثال .)٠,۷۲‏ 

كما أن مجرد زيادة عدد الأرقام في النسبة مشلا )٠,۷(‏ او )٠,۷۲(‏ لن يزيد من دقة 
التقييم» لكنه يشير إلى أن فريق تقييم ا مخاطر يجب أن يكرس مزيدا من الاهتمام للحصول 
على تقديرات دقيقة. كما أن ذلك يساعد فرق التقييم في فهم العلاقة بين الاحتمالات التي 
تغطي الأحداث المستقلة وذات الصلة على نحو أفضل. 

و على آية حال» تحتاج العملية الدقيقة لتقييم المخاطر إلى ما هو أكثر من مجرد 
تقديرات "التقديرات المرتفعة" سواء كانت ممثلة بنطاق مفرد )4-١(‏ أم نسبة مئوية 
كاملة من رقمين. كما يجب على فريق تقييم المخاطر وغيرهم من ال مهتمين أن ينظروا 
بحرص ف المخاطر التي تَحدّد أثناء عملية تحديد المخاطرء وينبغي جمع مزيد من 
المعلومات, إذا لزم الأمر. فعلى سبيل المثالء أثناء عملية تحديد المخاطرء قد يعتبر أحد 
المديرين أن الآثار المترتبة على القانون الجديد للتعرفة الجمركية يعد بمثابة مخاطرة 
مهمةء وربما يقوم آخرون في الجلسة نفسها بتوسيع التبعات بإضافة المزيد من المخاطر 
واعتبار أن القانون المفترض والمرتقب يعد بمثابة مخاطرة مؤثرة. وعلى أية حال» قبل 
وضع التصنيف القائم على الأهمية والتأثير. قد يرغب الفريق أو غيره من ال مديرين 
المسؤولين في القيام بمزيد من الأبحاث لتحديد التبعات الفعلية. ولربما في بعض الأحيان 
لا تكون هذه التبعات قابلة للتطبيق على الوحدة التشغيلية التي نحن بصدد الحديث 
عنها.ء أو أنه لن يكون لها أي تأثير يذكر حتى على مدار عدة سنوات قادمة. وتتضح 
النقطة الأساسية هنا في أن كل المخاطر التي تحدد قد تحتاج إلى بعض المعلومات الإضافية 
لضمان تطبيقها بدقة. 


قضايا حوكمة تقنية المعلومات 


تخطيط الاستجابة للمخاطر: 

تظهر قيمة متواضعة حال نشر قوائم تفصيلية عن المخاطر المؤثرة ما لم تقم المؤسسة 
على الأقل باتخاذ بعض الخطوات الإجرائية الأولية إن (أو عندما) تتحمل المخاطرة. 
وتتضح الفكرة هنا في تقدير أثر تكلفة تحمل بعض ال مخاطر المحددة ومن ثم تطبيق 
تلك التكلفة على احتمالية عامل المخاطرة الخاص بالمخاطرة لاستنتاج القيمة المتوقعة 
للمخاظرة. كما مثل هذا وقتا مهما لتحديد من هو امالك أو المسئول عن اللخاطرة 
ومن هو الشخص أو الحهة المسئولة عن معرفة حالة المخاطرة المحددة ومتابعتها. ولا 
يحتاج هذا الإجراء في كثير من الأحيان إلى دراسات تفصيلية للتكاليف ولا إلى كثير من 
الاتجاهات والتقديرات التاريخية الداعمة. فقد تم تحديد المخاطر الخاصة بنا من خلال 
نهج العصف الذهني السريع الاستجابة دون تحليل تفصياي» وبعد ذلك يقوم أشخاص 
ذوو معرفة بإجراء تقديرات احتمالية الحدوث والتأثير في ظل وجود المعرفة العامة عن 
المجال. كما يجب الانتهاء من حساب التكاليف المتوقعة. ويقوم بذلك العاملون في 
القطوظ الأعامية وبع ملون أخخاها على مختلف مستويات المؤسسة يكون من المتوقع 

وتتضح الفكرة هنا من خلال المرور على كل مخاطرة تم تحديدها - وإذا كان الوقت 
محدوداء فإنه يكفي فقط ال مرور على المخاطر الرئيسية - وتقدير تكاليف تحمل المخاطر 
المحددة. ويوضح الشكل التوضيحي (۲-۸) ست عينات لمخاطر تم رسمها باستخدام 
التقديرات الخاصة باحتمالية الحدوث والتأثير لكل مخاطرة. وهنا تمثل النواتج المشتركة 
لحاصل ضرب التأثير والاحتمالية درجة من درجات تقييم المخاطرة» وبترتيب هذه الدرجات 
تصبح القيمة الأعلى هي عنصر المخاطرة الأكبر الذي يدعو للقلق والاهتمام. 

ويجب على فريق تقييم المخاطر النظر في أثر تكلفة كل مخاطرة من المخاطر المحددة 
وتقدير التكلفة الإجمالية على ا لمؤسسة حال وقوعها. كما يوجد العديد من الطرق لوضع 
مثل هذه التقديرات الخاصة بتكلفة المخاطرء إلا أنه يجب استخدام النهج نفسه مع جميع 
المخاطر التي تم تحديدها. وبناءً على ذلك» يصبح حاصل ضرب درجة المخاطرة وتأثير 
التكلفة هو التكلفة أو الخسارة المتوقعة التي ستتكبدها المؤسسة حال وقوع المخاطرة 


دليل المسئول التنفيذي لحوكمة تقنية ا لعلومات rv‏ 


الفصل الثامن 


المحددة. ويوضح الرسم البياني في المثال آنه على الرغم من أن المخاطرة م-0 بها أعلى 
احتمالية حدوثء فإن تأثير التكلفة الأعلى للمخاطرة م-؟ قد يسبب قلقا إداريا أكبر بكثير 
من المخاطرة م-0. 
من المؤكد عدم دقة عينة تحليل المخاطر هذه إلا أنها توضح أحد أنواع التفكير الذي 
نحتاج إليه لتقدير تكاليف التعافي من بعض وقائع المخاطر. في كثير من الأحيان يكون 
من السهل التعرف على بعض وقائع المخاطرء لكن الأكثر صعوبة في الغالب هو تحديد 
تكلفة التعافي من تلك المخاطرة. وعلى النحو المقترح طوال هذا الفصلء لا توجد حاجة 
لإجراء تحليلات تفصيلية تستغرق الكثير من الوقت» بل يكفي الاستعانة بأهل العلم الذين 
يفهمون مجال المخاطرة لإعطاء بعض التقديرات. كما يتعين على الفرق في الكيانات التي 
قد تتحمل هذه المخاطر المحددة أن تقدر التكاليف على أسس هي: 
٠‏ تقدير التكلفة لأفضل الحالات التي يكون من الضروري فيها تحمل المخاطرة. يظهر هذا 
الافتراض فقط ٤‏ حال وجود تأثير محدود عند حدوث المخاطرة. 
٠‏ تقدير تكلفة العبنة التي يقوم بها الشخص صاحب المعرفة. 
٠‏ القيمة أو التكلفة ال متوقعة لتحمل المخاطرة. هذا هو نوع المخاطرة الذي قد يشمل 
تكاليف أساسية وغير ذلك من العوامل مثل العمل الإضافي. 
٠‏ تقدير التكلفة لأموأ الحالات التي يكون من الضروري فيها تحمل المخاطرة. ويعد هذا 
أحد أنواع التقدير "إذا كان كل شيء يسير على نحو خاطئ". 
لقد اقترحنا استخدام هذه التقديرات نقطة بداية لتشكيل فكرة عن حدود التكاليف 
التي تدور ٤‏ خلد مختلف الأفرادء ومع ذلك فإننا نؤكد أن هذا مجرد نهج عالي الممستوى. 
ويجب أن تعمل الإدارة العليا مع فرق الدعم المسئولة عن تقييم المخاطر لديها لفهم 
العمليات المعمول بها في المؤسسة. 
ويعد الشكل التوضيحي (8-”) مثالا على تخطيط ترتيب المخاطر. فخلية "القيمة 
المتوقعة" لبست سوق حاصل ضرت خلايا "أثر التكلفة" و"ذرجة المخاطرة". ويقدر هذا 
الرقم التكلفة التي ستتكبدها المؤسسة حال تحملها مخاطرة ما. وعلى الرغم من أن 


FA‏ دليل المسئول التنفيذي لحوكمة تقنية المعلومات 


قضايا حوكمة تقنية المعلومات 


الأرقام التي اختيرت لهذه العينات أرقام اعتباطيةء فإنها توضح للمديرين أو أخصائيي إدارة 
المخاطر المؤسسية (۸Mع)‏ كيفية تفسير هذه النوعية من التحاليل والعمل مقتضاها. 

فالمخاطرة م-: على سبيل ال مثال» بها احتمالية عالية وتأثير عال» وكذلك التكلفة المتوقعة 
للتصحيح تكون ال کا كما أن هذا التو هن التخاطر هو الذي يتبخى أن تحدده 
الإدارة على أنها أحد المخاطر المرشحة لاتخاذ إجراءات تصحيحية حيالها. ومع ذلكء فإن 
ا مخاطرة التالية في الجدول ا مخاطرة ٠-۲‏ تنتمي اشا ل الجانب الأهن العلوي من الشكل 
الرباعي لكن بتكلفة عالية نسبيا بمعالجتها. وقد يكون هذا أحد نوعيات المخاطر التي بناءً 
عليها ستقرر الإدارة إذا ما كانت ستقبل المخاطرة أو تطور شکلا آخر من خطة العلاج كما 
سيتم مناقشته لاحقا. 


شكل توضيحي (۳-۸) 


مثال تخطيط الاستجابة طبقا لتقييم المخاطر 
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ونؤكد مرة أخرى ارتفاع تكلفة المخاطرة: وفي هذه الحالة يكون تأثيرها مرتفعا نوعا ماء 
لكن احتمالية حدوثها تكون منخفضة للغاية. وهذه هي نوعية الأرقام التي تقرر الإدارة 
غالا من خلالها أن "تأمل خا وتعيش مع ا مخاطرة. اسيك لثل تلك المخاطرة: فإنها 
ستكلف الإدارة إذا ما قررت تحملهاء كما ستكون مُكلفة حال تشيت يعض الأدوات الخاصة 
بالإجراءات التصحيحية. وعلى افتراض 0 فريق إدارة ايلخاطر المأسسة قام بعمل جيد في 
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الفصل الثامن 


إعداد تقديرات المخاطر تلك التي تم تحديدهاء فهذا يمكن أن يكون نهجا مفيدا في اتخاذ 
القرارات اللتخلقة با لعالجة المستمرة للمخاطرة. 


متابعة المخاطر: 

بينما يلزم عمل مسح للمخاطر المحتملة في البيئة المؤسسية ثم تقدير تكاليف واحتمالات 
تلك المخاطر التي قد تحدث. فإنه يلزم القيام بهذا الإجراء لأكثر من مرة. بل يجب وضع 
عمليات رسمية ملتابعة اللخاطر وفع حالقهاء.قضلاً عن محزفة ايلخاطر الجديدة ايلحتملة 
بشكل مسعمر. إن متابعة المخاطر هى عملية توضيف الوضع الخال للمشاظر المحددة 
وقطليله وكذلك كنع اانخاطر الجديدة الاحتفلة: حال ظهورهاء فيي فمن أن موارة الشركة 
المخصصة للمشروع تعمل بشكل صحيح. 


إن هذا ال مفهوم الخاص بتشيت أدوات متابعة سيظهر في كثير من العمليات الأخرئ 
الخاصة بحوكمة تقنية امات التي تمت مناقشتها في فصول لاحقة. فعلى سبيل المثالء 
يناقش الفصل الرابع عشر من هذا الكتاب إدارة حوكمة تقنية المعلومات وإدارة محفظة 
استثمارات تقنية المعلومات» في حين يقدم الفصل السادس عشر من هذا الكتاب للقارئ: ما 
يعرف بالإدارة الفعالة المحفظة المشاريع والبرامج. وف تلك الحالات وغيرهاء تحتاج المؤسسة 
إلى وضع ضوابط رقابية لتقييم الحالة بشكل مستمر. 

وقي الماضي م تكن العديد من أدوات المتابعة هذه ۆخ ة بشكل واقعي في العديد من 
مجالات النظم التقليدية مثل تقنية المعلومات. فقد كان طاقم تقنية المعلومات في كثير من 
الأحيان يترقبون بكل آمل أن تسير الأمور بسلام وألا تتعطل النظم الرئيسية. وإذا ما حدث 
ذلك وتعطلت تلك النظم وما يصاحبها من تداعيات: تظهر عادةٌ حالة من الزخم تهدف 
إلى استعادة تلك 9 للعمل مرة أخرى. وفي السنوات الأخيرة فقط تم وضع العديد من 
أفضل تطبيقات تقنية المعلومات التي تم استخدامها وتطبيقها مع أدوات متابعة لتسليط 
الضوء على حالات المشاكل. 

كان لدينا تجربة أفضل بكثير مع أدوات المتابعة في بيئة إدارة ا مخاطرء إذ كل من إنذار 
الحريق التقليدي المثبت على الحائط أو جهاز الإنذار المستخدم في الكشف عن السرقات 
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قضايا حوكمة تقنية المعلومات 


المثبت على الباب يعتبر من النظم التقليدية لمتابعة المخاطر. ومن خلال استخدام التقارير 
الشبيهة بلوحة معلومات الإدارة أو غيرها من الآليات» يجب على المؤسسة أن تضع نظم 
متابعة للتحقق من الوضع الحالي للمخاطر الرئيسية المحددة وكذلك أجهزة إنذار الإشارة 
عند الحاجة إلى اتخاذ إجراءات تصحيحية. وعلى الرغم من عدم قيام أحد كبار المديرين 
ببناء أدوات المتابعة هذه أو تصميمها بوجه عام» فإن هذا المسئول التنفيذي نفسه ينبغي 
أن يكون في موقع يؤهله لطرح الأسئلة حول وضع أدوات متابعة مخاطر اممؤسسة. 

تعريفات إدارة المخاطر االمؤسسية وأهدافها الصادرة عن لجنة المنظمات الراعية 
ERM)‏ 605©0): عرض محفظة المخاطر: 

تحدثنا في الفصل الرابع من هذا الكتاب عن إطار الرقابة الداخلية الصادر عن لجنة 
المنظمات الراعية (20050) وأهميته على أنه أداة لتقييم الضوابط الداخلية للمؤسسة 
وتعزيز حوكمة تقنية ال معلومات. ويعد إطار إدارة ا مخاطر ا لمؤسسية الصادر عن لجنة 
المنظمات الراعية (810/1 005©0) أداةٌ مماثلة لهذا الإطار غير أنه يختلف عنه» فإطار 
المخاطر المؤسسية هذا من شأنه أن يساعد المؤسسات على أن تحتفظ بتعريف ثابت عن 
المقصود بالمخاطر على مستوى اللؤسسة التي ينبغي أن تؤخذ بعين الاعتبار وبشكل متناسق 
عبر المؤسسة بأكملها. لقد قامت لجنة المنظمات الراعية (0050) بإطلاق إطار إدارة 
المخاطر المؤسسية بطريقة مشابهة لإطار الرقابة الداخلية الخاصة بها والذي تم تطويره في 
وقت سابق. كما تم تشكيل مجلس استشاري يتكون من أعضاء من المؤسسات الراعية وتم 
التعاقد مع شركة برايس ووترهاوس كوبرز Pricewaterhouse Coopers (PWC)‏ على 
تطوير وصف الإطار وصياغته. وقد تم نشر الوصف الخاص بالإطار عام ٠٠١٤‏ والصفحات 
التالية من هذا الفصل تلخص مفاهيم إطار إدارة المخاطر المؤسسية الصادر عن لجنة 
المنظمات الراعية. وعلى أية حال فإننا ندعو القارئ أيضاً إلى الوصول إلى وصف كامل لإطار 
إدارة المخاطر المؤسسية الصادر عن لجنة المنظمات الراعية. إذ ممكن تحميل نسخة كاملة 
من إطار إدارة المخاطر المؤسسية الصادر عن لجنة ا منظمات الراعية أو شراؤهاء وكذلك 
بعض المواد المختصرة الداعمة من خلال معهد المحاسبين القانونيين الأمريكيين (810284) 
أو موقع الويب الخاص بلجنة المنظمات الراعية من خلال الرابط التالي: 171970:6050.01:8 
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الفصل الثامن 


وكما بدأ إطار الرقابة الداخلية الصادر عن لجنة المنظمات الراعية باقتراح تعريف ثابت 
للموضوع الذي يتناوله» يبدأ إطار إدارة المخاطر المؤسسية أيضا من خلال تعريف إدارة 

ا مخاطر المؤسسية على النحو التالي: 

إن إدارة ال مخاطر المؤسسية هي عملية يقوم بها مجلس إدارة الكيان والإدارة وغيرهم من 
الموظفين» ويكون تطبيقها في شكل إستراتيجية يتم وضعها في جميع أرجاء ا مؤسسة» وتكون 

مصممة لتحديد الأحداث المحتملة التي قد تؤثر ف الكيانء وكذلك تدير ال مخاطر لتكون ف 

نطاق قدرة الكيان على تقبل المخاطرء وتقدم ضمانا معقولا بتحقيق أهداف الكيان. 

وحيث إن هذا هو تقريبا التعريف الأكاديميء فإنه رها يتعين على المرء النظر في النقاط 
الرئيسية لإدارة المخاطر اللؤسسية الصادرة عن لجنة المنظمات الراعية وتذكرهاء والتي من 

ضمنها: 

٠‏ إدارة المخاطر المؤسسية عبارة عن عملية. رغم أن تعبير "عملية" يُساء استخدامه غالبا 
فإن القاموس يعرفها على أنها مجموعة من الإجراءات الرامية إلى تحقيق نتيجة. وفضلا 
عق أي هذا التعريف لا يخدم العديد من المهنيينء فإن الفكرة هنا هي إدراك أن العملية 
ليست إجراءً ثابتا مثل استخدام شارة الموظف التي ما صُممت ولا طبقت إلا للسماح 
فقط لأشخاص معينين لدخول أحد المرافق المؤمنة. فمثل هذا الإجراء الخاص بالشارة - 
الذي يعتبر بمثابة مفتاح القفل - ما هو إلا مجرد إجراء خاص بالسماح أو عدم السماح 
بدخول شخص ما إلى أحد المرافق. وتميل العملية إلى أن تكون ترتيباً أكثر مرونة. ففي 
عملية اعتماد الإقراض مثلاء يتم وضع قواعد قبول مع وجود خيارات لتعديلها عند 
حدوث اعتبارات أخرى. فا مؤسسة هنا قد تلوي قواعد الإقراض من أجل عميل غير 
مستحق للاقتراض يعاني من مشكلة على المدى القصير. فعملية إدارة المخاطر المؤسسية 
هي هذا النوع من العمليات. ولا تستطيع المؤسسة في كثير من الأحيان تحديد قواعد 
إدارة ا مخاطر من خلال كتاب قواعد صغير ومنظم بشكل محكم. بل» ينبغي أن تكون 
هناك سلسلة من الخطوات الموثقة ممراجعة وتقييم ا مخاطر المحتملة واتخاذ الإجراءات 
ا مناسبة استنادا إلى مجموعة واسعة من العوامل الموجودة في جميع أرجاء املؤسسة. 


YE‏ دليل المسئول التنفيذي لحوكمة تقنية المعلومات 


قضايا حوكمة تقنية المعلومات 


يقوم أفراد يعملون في المؤسسة بتنفيذ عملية إدارة المخاطر المؤسسية. لن تكون إدارة 


إرسالها لوحدة التشغيل من المركز الرئيسي للشركةء البعيد عن تلك الوحدات التشغيلية, 
حيث يوحد هؤلاء الأشخاص العاملون بالشركة ممن قاموا بضياغة مسودة القواعدء وقد 
يكون لديهم القليل من فهم العوامل المختلفة المحيطة بهم التي يتم اتخاذ القرار بناءً 
عليها. ويجب أن يقوم على إدارة المخاطر أفرادٌ على مقربة كافية من مكان تلك المخاطر 
وحالها لفهم مختلف العوامل المحيطة بتلك اللخاطر متضمنا ذلك آثارها. 
يتم تطبيق إدارة المخاطر المؤسسية من خلال وضع إستراتيجيات عبر المؤسسة بالكامل. 
تتعرض اللؤسسات داتما إلى إستراتيجيات بديلة متعلقة مجموعة ضخمة من الإجراءات 
المستقبلية المحتملة. فمثلاء هل يتوجب على الكيان أن يقتني أع مالا تكميلية أخرى 
أم يكتفي فقط ببنائها داخليا؟ وهل ينبغي تبني تقنية جديدة في عمليات التصنيع أم 
الاكتفاء بالتمسك بالأسلوب المجرب والصحيح؟ إن الإدارة الفعالة للمخاطر ال مؤسسية 
عب أق تاكن ددرا وكسيا في وضع تلك الإستراتيجيات البديلة. وها أن هناك العديد 
من المؤسسات الكبيرة التي تحتوي على العديد من وحدات التشغيل ال مختلفة: فإنه 
ينبغي تطبيق إدارة المخاطر المؤسسية عبر تلك المؤسسة بأكملها باستخدام نوع من أنواع 
أساليب المحافظ الذي يقوم بدمج أنشطة المخاطر العالية والمنخفضة بعضها مع بعض. 
يجب الأخذ في الاعتبار مفهوم الرغبة في المخاطر. الرغبة في المخاطرة هي مقدار 
ا مخاطرة. على الملستوى العام: الذي تكون المؤسسة ومديروها على استعداد لقبوله في 
سعيها لتحقيق القيمة المطلوبة. ويمكن قياس الرغبة في المخاطر من خلال الحس النوعي 
الذي يقوم على تصنيف المخاطر إلى فئات مثل عالية أو متوسط أو منخفضة؛ وبديلا عن 
ذلك» يمكن تعريفها بطريقة نوعية. إن فهم الرغبة قي المخاطر يغطي مجموعة واسعة 
من القضايا التي سيتم مناقشتها بمزيد من التفاصيل في الفصل العاشر من هذا الكتاب 
حول مخاطر الحوكمة ومخاطر أمن تقنية المعلومات التي تمت الإشارة إليها في فصول 
لاحقة تدور حول تطبيق حوكمة تقنية المعلومات. إن الفكرة الأساسية هنا هي أنه 
يجب أن يكون لدى كل مدير وكل مؤسسة عموما مستوى ما من الرغبة في ا مخاطر. 


دلبل المسئول التنفيذي لحوكمة تقنية المعلومات Er‏ 


الفصل الثامن 


يحض سيقبل بالمشاريع المحفوفة بالمخاطر التي تبشر بتحقيق عوائد عاليةء في حين 

يفضل البعض الآخر أكثر المشاريع التخفهة المخاطر |[لضمدنة العائد. كما يستطيع 
المرء أن يتصور هذا المفهوم الخاص بالرغبة في المخاطرة أو أن يقيسه على اثنين من 
الملستكثمرين الافتراضيين. فأحدهما قد بنفضل سوق المال أو الضتاديق ذات المؤشرات 
المنخفضة المخاطر جداً إلا أن عوائدها تكون عادة منخفضةء في حين قد يستثمر الآخر في 
أسهم شركات التقنية الصغيرة الناشئة. 


تور إذارة الخخاطر المؤسسية ضيانا معقولا فقظ ولس إيجابياً حول إتجازات الأهداف. 


والفكرة هنا تتضح في فى أن إدارة المخاطر المؤسسية: مهما كانت مدروسة أو متفذة بشكل 
جيدء لا يمكن أن تمد الإدارة أو غيرها باي ضمان مؤكد للنتائج. إن المؤسسة الخاضعة 
للرقابة بشكل جيد من خلال أشخاص على جميع المستويات تعمل باستمرار نحو تبني 
أهداف مفهومة وقابلة للتحقيق. وقد تتحقق تلك الأهداف فترة بعد فترة. حتى إن كان 
ذلك على مدى عدة سنوات. ومع ذلك» من الممكن أن يقع خطأ بشري غير مقصود أو 
سلوك غير متوقع من قبل آخرينء أو حتى وقوع كارثة طبيعية. فتسونامي"" 
المد البحري العاتية) التي حدثت في المحيط الهندي في ديسمبر عام ع٠‏ لا يعد قال على 
تلك الأحداث غير المتوقعة. إذ سل أن آخر موجة تسونامي في هذا الجزء من العام قد 
حدثت منڏ نحو 6٠١‏ م مضت. وعلى الرغم من تطبيق عملية إدارة مخاطر مؤسسية 
فعالةء فان المؤسسة قد تتعرض للثل هذا الإخفاق غير المتوقع بالمرة نتيجة لتلك الأحداث 
غير المتوقعة فالتاكيدات المحقولة لا توفر ضمانا طلقا 


(موجات 


٠‏ تم تصميم إدارة المخاطر المؤسسية للمساعدة في تحقيق إنجاز الأهداف. يجب أن تعمل 


المؤسسة:؛ من خلال إدارتهاء على وضع أهداف مشتكة عالية المستوى يمكن أن يتشارك 
فيها جميع أصحاب المصلحة. ومن أمثلة ذلكء كما وردت في وثائق إطار (050© 
21 ): أمورٌ مثل تحقيق السمعة الإيجابية والحفاظ عليها داخل مجتمعات الأعمال 
والمجتمعات الاستهلاكية للمؤسسة وتقديم تقارير مالية موثوقة لجميع أصحاب المصلحة 
والتزام المؤسسة بالقوانين واللوائح. إن البرنامج العام لإدارة المخاطر المؤسسية من شأنه 
أن يساعد المؤسسة على تحقيق تلك الأهداف. 
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وتكون الأهداف والغايات المتعلقة بإدارة المخاطر المؤسسية قليلة القيمة ما ثم تكن 
منظمة ومتناغمة معا بطريقة تمكن الإدارة من أن تنظر في الجوانب المختلفة لهذه المهمة 
وأن تفهم - نوعا ما على الأقل - الطريقة التي تتفاعل بها بعضها مع بعض على نحو 
متعدد الأبعاد. هذه هي القوة الحقيقية لنموذج إطار الرقابة الداخلية الصادر عن لجنة 
المنظمات الراعية (C050)؛‏ فهو يصف على سبيل المثال» كيف أن التزام المؤسسة بالقوانين 
واللوائح يمكن أن يؤثر في جميع مستويات الضوابط الداخلية» من عمليات المتابعة إلى بيئة 
الرقابةء وكيف أن هذا التوافق مهم لجميع كيانات المؤسسة أو وحداتها. وبطريقة مماثلة 
قامت لجنة المنظمات الراعية (0050) بتطوير نموذج إطار إدارة المخاطر المؤسسية الذي 
يوفر بعض التعريفات الشائعة لإدارة المخاطرء والمساعدة على تحقيق الأهداف الرئيسية 
للمخاطر في جميع أنحاء المؤسسة. 

إطار إدارة المخاطر المؤسسية الصادر عن لجنة المنظمات الراعية ٤۸ M(‏ 6050): 

إن إطار الرقابة الداخلية الصادر عن لجنة المنظمات الراعية (6050©).: كما نوقش 
في الفصل الرابع من هذا الكتاب» وتم وصفه في الشكل التوضيحي (1-64١)؛‏ أصبح نموذجا 
يحتذى به في جميع أنحاء العالم» فهو يقوم بعمل فعال جدا في وصف الضوابط الداخلية 
وتخديدها.. وقد يبدو إظار 15834 6656) هن الوهلة الأول مغابها جدا لإطار الرقابة 
الداخلية الصادر عن لجنة المنظمات الراعية (©605©) رها لأن بعض أعضاء الفريق نفسه 
قد تم ضمهم إلى كل من مشروع الرقابة الداخلية ومشروع إدارة المخاطر المؤسسية. إن 
إطار (/78183 0050) كما هو موضح في الشكل التوضيحي )٤-۸(‏ عبارة عن مكعب ثلائي 
الأبعاد يحتوي على المكونات التالية: 

ه أربعة أعمدة رأسية تمثل الأهداف الإستراتيجية للمخاطر المؤسسية. 

٠‏ ثمانية صفوف أفقية وهي مكونات المخاطر. 


٠‏ عدة مستويات للمؤسسة. بدءا من مستوى كيان "المقر الرئيسي" إلى مستوى الفروع 
الفردية. وتبعا لنوع المؤسسة: قد توجد هنا "شرائح" كثيرة للنموذج. 
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يقوم هذا القسم بتسليط الضوء على بعض المكونات الأفقية لإطار (/15182 ©605). كما 
يكن الحصول عاق وَصَف أك ففضيلا لإدارة المخاطر اللقسسية الصادرغن لجتة المنظيات 
الراعية (883/1 ©005©) ومكوناته الثلاثية الأبعاد. وكيفية ارتباطها معا من خلال زيارة ا موقع 
56 ومن خلال الوصف الأكثر تفصيلا لإدارة المخاطر المؤسسية الصادر عن لجنة 
المنظمات الراعية (15:123/1 050)) المقدم من مؤلف هذا الكتاب"". كما يوفر إطار إدارة 
المخاطر المؤسسية (1818381) نموذجا للمؤسسات لدراسة الأنشطة ذات الصلة بال مخاطر وفهمها 
على جميع مستويات المؤسسة بالإضافة إلى كيفية تأثير هذه الأنشطة بعضها على بعض. 
وكجزء من فهم حوكمة تقنية المعلومات يهدف هذا الكتاب إلى مساعدة كبار المديرين على 
فهم المخاطر التي تواجه مؤسساتهم وإدارتها على نحو أفضل. 

شكل توضيحي )٤-۸(‏ 
إطار©005 لإدارة المخاطر المؤسسية 

أهداف إدارة المخاطر 





سنج a‏ الوضف OSO ENS a‏ يفيه إل سند a‏ أظان EN‏ 
الداخلية الصادر عن لجنة المنظمات الراعية (©0050©) الذي أصبح مألوفا لدى العديد من 


قضايا حوكمة تقنية المعلومات 


المهنيين. فعندما تم إطلاق إطار (78131 2005©0) لأول مرة اعتقد البعض للوهلة الأولى 
اعتقادا حاط بآثه مجرة تحدية لإطار الرقابة الداعلية الصادر عن فة الأنظمات الراعة 
)C080(‏ الأكثر شيوعا لديهم. فهذا الأمر قد يبدو خادعاء فإطار (/78713 )٥080‏ لديه 
أهداف واستخدامات مختلفة! فهو ليس مجرد نسخة جديدة ومحسنة أو منقحة من إطار 
ارقا الاخ الصادر عن لحنة المنظيلت الراغية 460807 کيو اك مق ذلات بک 
وتلخص الفقرات التالية هذا الإطار من منظور تحديد مكونات المخاطر ووضع أهداف 
إدارة المخاطر. إن هدفنا هنا هو تقديم إطار (58183/1 0050) مع التركيز على الكيفية 
التي من خلالها يمكن أن تقوم إدارة المخاطر المؤسسية بتحسين الممارسات الخاصة بحوكمة 
تقتة الاعلوفات ذاخل ابلؤّسسة. 


مكونات إطار (178131 ©605): البيتة الداخلية: 

كما هو موضح في الشكل التوضيحي »)٤-۸(‏ يوجد عنصر يسمى البيئة الداخلية 
وضع في الجزء العلوي من المكونات الخاصة بإطار (813/1 0050©). وباستخدام بعض 
المصطلحات القدهة» فإنه ينظر إلى البيئة الداخلية على أنها بمثابة تتويج إطار (050© 
811 ). فبالعودة إلى العصر القديم حيث الجسور المشيدة من الطوبء كان التتويج 
عبارة عن الحجر الذي يلحم معا أقواس الطوب التي ترتفع من كل جانب من جانبي 
الجسر لربط الجسر بأكمله معا. ويشبه مكون التتويج هذا أيضا المربع الموجود في الجزء 
العلوي من الهيكل التنظيمي» حيث يكون الرئيس التنفيذي )۳٤0(‏ هو الرئيس ال معين 
لهذه الوظيفة. فهذا المستوى هو الذي يعد أساساً لجميع المكونات الأخرى في نموذج إدارة 
المخاطر المؤسسية الخاص بالمؤسسة ويؤثر في الكيفية التي ينبغي أن يتم من خلالها وضع 
الإستراتيجيات والأهداف وكيفية هيكلة أنشطة الأعمال المتعلقة بالمخاطر وكيفية تحديد 
المخاطر واتخاذ إجراءات بشأنها. ويتكون هذا العنصر الذي يمثل الأساس الداخاي لإدارة 
المخاطر المؤسسية من العناصر التالية: 

فلسفة إدارة المخاطر: هي الاتجاهات والمعتقدات المشتركة التي تميز كيف أن المؤسسة 
تأخذ في الحسبان المخاطر في كل ما تفعله. وعلى الرغم من أن فلسفة إدارة المخاطر ليست 
في كثير من الأحيان أحد أنواع الرسائل المنشورة في مدونة قواعد السلوكء فإنها تعد أحد 
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الفصل الثامن 


الاتجاهات التي من شأنها السماح لكبار المديرين وغيرهم على جميع المستويات بالرد على 
اقتراح ما يخص المخاطر المرتفعة من خلال إجابة على غرار "لاء ليس هذا نوعا من ا مشروعات 
التي تهتم به شركتنا". وبالطبع» فإن المؤسسة التي تمتلك فلسفة مختلفة خاصة بها قد ترد 
على هذا الاقتراح نفسه بإجابة على غرارء "تبدو مثيرة للاهتمام ما معدل العائد المتوقع؟" في 
الحقيقة أن كلتا الإجابتين ليستا خاطئتين» لكن يجب على المنشأة أن تحاول تطوير فلسفة 
واتجاه محدد ومتناغم حول التي تقبل بها المشاريع المحفوفة با مخاطر. 


الرغبة في المخاطر: مفهوم غير مألوف لدى كثير من المديرين» فالرغبة في المخاطر هي 
مقدار المخاطرة التي تكون المؤسسة مستعدة لقبولها في سعيها لتحقيق أهدافها. هذه الرغبة 
في المخاطر يمكن قياسها من حيث الكمية أو النوعية» لكن ينبغي على جميع مستويات 
الإدارة أن يكون لديها فهم عام لهذا المفهوم وكذلك رغبة في المخاطر المؤسسية بكاملها. 

مواقف مجلس الإدارة: مجلس الإدارة دورٌ مهم جدا في مراقبة بيئة المخاطر للمؤسسة. 
لذلك يجب على المديرين المستقلين الخارجيين على وجه الخصوص مراجعة الإجراءات 
الإدارية بعنايةء وطرح الأسئلة المناسبةء فهم يمثلون ضوابط الفحص والتوازن بالنسبة 
للمؤسسة. فعندما يكون أحد مسئولي المؤسسة الكبار قويا ولديه توجةٌ يقضي بأن "هذا 
لا يمكن أن يحدث هنا" عند النظر في المخاطر المحتملة المحيطة ببعض المساعي الجديدة 
فإن أعضاء مجلس الإدارة يكونون غالبا هم أفضل من يطرح الأسئلة الصعبة حول الكيفية 
المتعلقة برد فعل ال مؤسسة على حدث يقع وم يكن من المتوقع حدوته. 

النزاهة والقيم الأخلاقية: إن هذا العنصر من عناصر البيئة الداخلية الخاص بإدارة 
المخاطر المؤسسية (81834) يحتاج إلى أكثر بكثير من مجرد مدونة قواعد سلوكية منشورة؛ 
بل إنه يدعو إلى نزاهة سلوك اعضاء المؤسسة وقوة معاييرهم. لذا يلزم وجود تقافة قوية 
للشركات لتقوم بتوجيه ا لمؤسسة: على جميع ال مستويات: في المساعدة على اتخاذ القرارات 
على أساس المخاطر المتعلقة بها. 

الالتزام بالكفاءة: تشر الكفاءة إلى المعرفة والمهارات اللازمة لإنجاز المهام المنوطة. 
والإدارة هي التي تقرر الكيفية التي يتم بها إنجاز تلك المهام الحرجة المسندة من خلال 
وضع إستراتيجيات مناسبة وتعيين أفراد مناسبين لأداء هذه المهام الإستراتيجية في أغلب 
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الأوقات. وقد رأينا جميعا افتقار المؤسسات لهذا النوع من الالتزام. وتقوم الإدارة العليا 
بوضع الخطط الكبيرة والمدوية من أجل تحقيق هدف ما إلا أنها غالبا لا تقوم ببذل أي 
جهد إيجابي من أجل تحقيق ق هذا الهدف. ويقوم سوق الأوراق المالية غالبا بفرض عقوبات 
غلى مثل هذة الأنشطة. " 

الهيكل التنظيمي: ينبغي أن يكون لدى الهيكل التنظيمي للمؤسسة خطوط واضحة 
للسلطة والمسئولية إلى جانب الخطوط اللائمة لتقديم التقارير. إن البنية الضعيفة للهيكل 
التنظيمي تجعل من الصعب القيام بتخطيط وتنفيذ ورقابة ومتابعة الأنشطة. وقد شهد 
المهنيون جميعهم الأوضاع التي ل تسمح فيها بثية اللمؤسسة بتكوين خطوط اتصال مناسبة. 


تكليفات السلطة والمسئولية: 

هذا التكليف هو المدى أو الدرجة التي وفقاً لها يتم تكليف مستويات أو شرائح من 
السلطة والمسئولية أو تفويضها لمجموعات وإدارات مختلفة في المؤسسة. إن الاتجاه السائد 
اليوم في العديد من المؤسسات هو دفع هذه الأمور مثل مستويات سلطات الموافقة إلى 
المستويات الدنيا من هيكل المؤسسة: وذلك بإعطاء موظفي الخط الأول التفويض وسلطة 
الموافقة بشكل أكبر. ونمة اتجاه ذو علاقة وهو "تسطيح" المؤسسات من خلال القضاء على 
مستويات الإدارة الوسطى. هذه الهياكل المؤسسية تعمل عادة على تعزيز إبداع الموظف 
وسرعة الاستجابة وزيادة رضا العملاء. وتحتاج هذه النوعبة من ال لؤسسات التي تتحامل 
و لوجه مع العملاء إلى إجراءات قوية تحدد "القواعد" لجميع أعضاء طاقم العمل» فضلا 
عن متابعة الإدارة المستمرة لهذه الإجراءات حيث يمكن إلغاء قرارات إذا لزم و كما 
ينبغي على جميع الأفراد في المؤسسة أن يعرفوا كيفية ترابط أعمالهم وأن يسهموا في تحقيق 
الأهداف العامة للمؤسسة. 

ا معايير الخاصة باموارد البشرية: إن الممارسات التي تتبعها امؤسسه فيما يتعلق بتوظيف 
وتدريب وتعويض وترقية وتأديب الم موظف» وجميع الإجراءات الأخرى» تبعث برسائل إلى 
جن اعا الامو بان ما جو اقل اوا موسيم به اوا مو سيوع وعندما 
تقوم الإدارة بغض الطرف عن يعض أنشطة "المنطقة الرمادية' ' بدلا من اتخاذ موقف قوي 
الها فان هذه الرسالة تضل غاليا بسرعة إلى الآخرين في جميع أنحاء المؤسسة. 
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إن مكون البيئة الداخلية لإطار (78183/1 050©) به اثنان من المخرجات الرئيسية التي 
تقوم بتغذية العناصر الأخرى في إطار (581231 0050) وهما: فلسفة إدارة المخاطر في 
المؤسسة والرغبة النسبية في المخاطر. وبينما ناقشنا فلسفة إدارة المخاطر فيما يتعلق 
بمواقف مجلس الإدارة وسياسات الموارد البشرية» وأمور أخرى بينهماء فإن الرغبة في المخاطر 
يكون غالبا المقياس الأكثر مرونة عندما تقرر المؤسسة قبولها لبعض المخاطر ورفضها للبعض 
الآخرء وذلك تبعاً لاحتمالية حدوثها وتأثيرها. الشكل التوضيحي (0-۸) يظهر خريطة 
الرغبة في المخاطر مما يدل على المدى الذي يتعين على المؤسسة وفقا له قبول المخاطر تبعا 
لاحتمالية حدوثها وتأثيرها. وتقول خريطة الرسم البياني هذه أن المؤسسة قد تكون على 
استعداد للانخراط في مشروع ذي تأثير سلبي عال إذا كان هناك احتمالية منخفضة لحدوثه. 


شكل توضيحي (0-8) 
خريطة الرغبة في المخاطر 








كما أن هناك بعدا ثالثا لهذا المخطط وهو أن المؤسسة في بعض الأحيان يكون لديها 
رغبة أكبر نحو المساعي المحفوفة با مخاطر إذا كان هناك إمكانية لتحقيق عائد أعلى. 
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مكونات إطار (1751231 6050): وضع الهدف: 

تم إدراج هذ المكون أسفل مكون البيئة الداخلية من حيث الترتيب» إذ يلخص مكون 
تحديد الأهداف الخاص بإطار (7813/4 ©005) بعض الشروط الاستباقية الضرورية التي 
يلزم توافرها قبل أن تقوم الإدارة بوضع عملية فعالة لإدارة المخاطر في المؤسسة. وبالإضافة 
إلى البيئة الداخلية المذكورة سابقاء ينبغي على المؤسسة وضع أهداف عالية المستوى تغطي 
الأنشطة الخاصة بعمليات التشغيل وإعداد التقارير والامتثال الخاصة بها. 

ويدعو إطار (181688/1 )K050‏ إلى وضع بيان للمهمة (الرسالة) وهو بيان عام ورسمي 
للأغراض التي يمكن أن تصبح اللبنة الأولى لتطوير إستراتيجيات وظيفية أكثر تحديدا ويصف 
غرض ال منظمة وأهدافها ومواقفها العامة تجاه المخاطر. وإذا ما تم ذلك بشكل صحيح» فإن 
مان اة (الرسالة) سساغد اللؤسسة غلى تحدئد سلسلة من اهذاف غعملبات'التعضيل 
وتطويرها وتنفيذها ورفع تقارير بها وتحقيق مبدأ التوافق في هذا الشأن. 

إن مكون البيئة الداخلية لإطار (18113/1 050ع) الذي سبق الحديث عنه: به اثنان من 
المخرجات الرئيسية هما: فهم فلسفة إدارة المخاطر في المؤسسة: وتقدير رغبة المؤسسة في 
المخاطر. هذان المخرجان يسمحان لمكون تحديد الأهداف بتطوير سلسلة من الأهداف 
للتقليل من ال مخاطر ولتعريف الرغبة في المخاطرة بشكل رسمي من حيث درجة تحمل 
المخاطر. ويقصد بدرجة تحمل ال مخاطر هنا الإرشادات أو المقاييس الرسمية التي يجب أن 
تستخدمها المؤسسة - على جميع المستويات - لتقدير ما إذا كانت ستقبل المخاطرة أم لا. 
إن وضع درجة تحمل المخاطر يمكن أن يكون صعبا للغاية بالنسبة للمؤسسات الرسمية. 
كما ستظهر مشاكل إذا م تكن القواعد الموضوعة محددة ومعرفة بشكل واضح ومفهومة 
جيداً ومطبقة بصرامة. وغالباً ما يكون من الصعب تطبيق القواعد. فعلى سبيل المثالء في 
مارس ,5٠١0‏ قام مجلس إدارة شركة بإعفاء الرئيس التنفيذي للشركة من منصبه يسبب 
"علاقة عاطفية" مع موظفة'". وكان يتم تجاهل هذا النوع من العلاقات غالبا في الماضي 
ولكن تم الاعتراف هنا باعتباره انتهاكا لمدونة قواعد السلوكء واتخذ المجلس إجراءات 
سريعة وحاسمة حبال ذلك. فإذا كانت المؤسسة تريد إقامة مجموعة صارمة من القواعد: 
فإنه ينبغي إنفاذها في جميع أنحاء الكيان. 
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إن أفضل نهج يمكن للمؤسسة اتباعه هو وضع بعض النماذج المقبولة لدرجة تحمل 
امخاطر. وهذا د يعني أنها قد تضع مدى مسموحا به للمخاطر التي ستقبلها. فعلى سبيل 
المثالء تجد أن جميع المنتجات التي تأ من خط الإنتاج قد يكون لها معدلات خطأ مقبولة 
ومحددة بشكل مسبق وتكون أقل من قيمة معينة. فخط الإنتاج في ال مؤسسةء على سبيل 
ا مثال» قد يرغب في إنتاج سلع معدل خطأ لا يزيد عن ٠,٠٠0‏ في ايلئة. وهو معدل خطأ 
منخفض للغاية في العديد من ال مجالات» فإدارة الإنتاج في هذه الحالة ستقبل بمخاطر تخص 
أي مطالبات لضمان المنتج أو أي أضرار قد تلحق بسمعتها إذا وجدت أخطاء ضمن هذه 
الحدود الضيقة جدا. وبالطبع فإن نطاقات المخاطر في مؤسسة معنية بمنتجات الرعاية 
الصحية ستكون صارمة إلى أبعد حد. 

إن الفكرة الأساسية هنا تتمثل في أنه يجب على المؤسسة أن تحدد إستراتيجياتها وأهدافها 
المتعلقة با مخاطرء وفي ظل الإرشادات» يجب أن تقرر المؤسسة مدى رغبتها وتحملها للمخاطر. 
معنى» ما مستوى المخاطر التي تكون المؤسسة على استعداد أن تقبله» وبافتراض وجود تلك 
القواعد الخاصة بقبول المخاطرء فما هو المقدار الذي تكون على استعداد أن تحيد عنه فيما 
يخص هذه المقاييس ال محددة بشكل مسبق؟ الشكل التوضيحى (1-۸) يلخص العلاقة بين 
هذه المكونات الخاصة بتحديد أهداف إطار (1:82/1 6050©) التي مكن استخدامها لمؤسسة 
تضنيع متوسطة الحجم. فبدءا من المهمه الشاملة: يكون النهج عبارة عن )١(‏ وضع الأهداف 
الإستراتيجية لدعم إنجاز تلك المهمة (۲) وضع إستراتيجية لتحقيق الأهداف (۳) تحديد أي 
أهداف ذات علاقة و(٤)‏ تحديد الرغبات في المخاطر لاستكمال تلك الإستراتيجية. وقد تم 
تبني هذا المخطط من المواد الإرشادية المنشورة الخاصة بإطار (15123/1 0050). ومن أجل 
إدارة المخاطر على جميع المستويات ومراقبتهاء تحتاج المؤسسة إلى تحديد أهدافها وتحديد 
مدى تحملها للمخاطر عندما تضطر للانخراط في ممارسات محفوفة با مخاطر ومدى تمسكها 
بهذه القواعد. ولن تسر الأمور بالشكل لمكي إذا ما قامت اللؤسسة فقط بتحديد بعض 
الأهداف ا متعلقة بالمخاطر وبعد ذلك تستمر في تجاهلها. 


مكونات اطار (181231 (60560): تحديد الحدث: 
يقصد بالأحداث الحوادث أو الوقائع الداخلية أو الخارجية في المؤسسة التي تؤثر في 
تنفيذ إستراتيجية إدارة المخاطر المؤسسية أو تحقيق أهدافها. وبينما يكون الاتجاه السائد 
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هو التفكير في مثل هذه الأحداث بشكل سلبي (تحديد الخطأ الذي حدث). فإنه يمكن 
أن تكون إيجابية أو سلبية أو كليهما. وبالرغم من أن العديد من المؤسسات اليوم تشهد 
مستوقٌّ قويا من متابعة الأداءء فإن عملية المتابعة تلك تميل إلى التركيز على مسائل مثل 
التكاليف والميزانيات وضمان الجودة والامتثال وما شابه ذلك. إن أهداف المخاطر الخاصة 
بإدارة المخاطر المؤسسية التي سبق الحديث عنها يمكن أن تصبح مفقودة في هذه العملية 
التي تختص بممتابعة المزيد من الأهداف التشغيلية والأهداف التشغيلية الموجهة نحو 
العملية بشكل كو وتطبق المؤسسات في العادة عمليات قوية لمتابعة مثل هذه الأحداث 
كالتباينات الملانمة في الميزانية وغير الملائمة على وجه الخصوص. 


شكل توضيحي (1-8) 


مكونات وضع أهداف المخاطر في 181:31 0050© 


/ المهسة 
أن نكون شركة رائدة مُنْتَجَة للمنتجات التقنية الخاصة بتقنية المعلومات في جميع أنحاء العالم 


×% زيادة الإنتاج العالمي بنسيه‎ ٠ 
الاحتفاظ بجودة السنح عند نسبة ).4 سبحا‎ ٠ 





درجات القدرة على تحمل المخاطر 
الأهداف درجات التحمل والنطاقات التي يمكن قبولها 
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ومع ذلك ففي كثير من الأحيان لا تكون هناك متابعة منتظمة: سواء للأحداث الفعلية 

أم للعوامل اللؤثرة التي تعد الدافع وراء مثل هذه الأحداث الخاصة بتقلبات الميزانية. 

وتشمل بعض العوامل المؤثرة التي ينبغي أن تكون جزءاً من عنصر تحديد الأحداث ف إطار 

ERM)‏ ©005) ما يلي: 

٠‏ الأحداث الاقتصادية الخارجية: قد تؤثر الاتجاهات الجاريةء قصيرة كانت أم طويلة 
الأجلء في بعض عناصر الأهداف الإستراتيجية للمؤسسةء ومن ثم يكون لها تأثير في الإطار 
العام لإدارة المخاطر المؤسسية. ومثال على ذلك الحدث الاقتصادي الخارجي الذي وقع 
في 1 مايو ٠٠٠١‏ والذي شهدت فيه أسواق الأسهم الأمريكية والعالمية خسائر فادحة 
فيما کان يعرف باسم الانهيار السريع ([01335) 1ءه۴1). وقد استردت الأسواق عافيتها 
بسرعةء إلا آن الحدث قد تسبب في قيام العديد باتخاذ إجراءات علاجية متسرعة وكانت 
غالبا غير مدروسة بشكل جيد. وقد كان هذا الحدث الاقتصادي الخارجي غير متوقع 
با مرة. ش 

٠‏ الكوارث البيئية الطبيعية: إن العديد من الأحداث» مثل الحرائق أو الفيضانات أو 
الزلازل» يمكن أن تصبح حوادث أثناء تحديد المخاطر الخاصة بإدارة المخاطر المؤسسية. 
ويمكن أن تشمل الآثار هنا فقدان إمكانية الوصول إلى بعض المواد الخام الرئيسية» أو 
أضرارا جسيمة هكن أن تلحق با مرافق المادية أو عدم توفر الموظفين. 

٠‏ الأحداث السياسية: قد ينتج عن القوانين واللوائح الجديدة وكذلك نتائج الانتخابات» 
مخاطر مؤثرة يكون لها تأثيرات ذات صلة بالمخاطرعلى المؤسسات. ويكون لدى العديد 
من ال مؤسسات الكبيرة إدارة خاصة بالشئون الحكومية تستعرض التطورات والمساعي 
المبذولة لإجراء التغييرات. ومع ذلك فإن مثل هذه الإدارات قد لا تتماشى دائماً مع 
أهداف إدارة المخاطر اللؤسسية. 

٠‏ العوامل الاجتماعية: بينما يكون حدث خارجي مثل الزلزال مفاجئاً ويحدث دون سابق 
إنذار» فإننا نجد أن معظم التغيرات الخاصة بالعوامل الاجتماعية تكون عبارة عن أحداث 
تتطور ببطء. وتشمل هذه الأحداث التغيرات الدموغرافية والأعراف الاجتماعية وغيرها 
من الأحداث التي قد تؤثر في المؤسسات وعملائها مع مرور الوقت. ومثال على التغيير 
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المجتمعي واقعة الإقالة تلك التي : تمت الإشارة إليها سابقا للرئيس التنفيذي للشركة بسبب 
علاقة غير شرعية تمت بالتراضي مع موظفة أخرى بالشركة رها تم تجاهلها لو حدثت في 
عصر آخر. إلا أن تغير العادات الاجتماعية اليوم هو الذي أدى إلى تلك الإقالة. 

٠‏ أحداث البنية التحتية الداخلية: في كثير من الأحيان تقوم المؤسسات بإجراء تغيرات 
حميدة من شأنها أن تؤدي إلى أحداث أخرى متعلقة با مخاطر. فعلى سبيل المثال» 
التسير فى إجراءات خدمة العملاه كن أن يسبب شكاوق كبرق وانحفاضا فى رقا اللاك 
فالطلب الشديد والمتصاعد على منتج جديد من قبل العملاء قد يؤدي إلى تغيرات في 
متطلبات الطاقة الاستيعابية للمصنع والحاجة إلى المزيد من الموظفين. 

٠‏ الأحداث المتعلقة بالعمليات الداخلية: على غرار أحداث البنية التحتية يمكن أن تؤدي 
التغيرات في العمليات الرئيسية إلى وقوع مجموعة كبيرة من الأحداث المتعلقة بتحديد 
المخاطر. وكما هو الحال بالنسبه للعديد من هذه العناصرء فإن تحديد المخاطر قد لا 
يكون فورياء وقد يمر بعض الوقت قبل أن تشي الأحداث المتعلقة بالعملية إلى الحاجة 
إلى تحديد المخاطر. 

٠‏ الأحداث التقنية الخارجية والداخلية: تواجه جميع المؤسسات الكثير من الأحداث 
التقنية المتواصلة التي يمكن أن تؤدي إلى الحاجة إلى تحديد رسمي للمخاطرء فبعضها يتم 
ويچا مع مرور الوقت في حين أن البعض الآخر يكون مفاجنا بع كل کي فقن كاذت 
الشبكة العنكبوتية العالمية لوقت ما قيد استخدامناء إلا أن التحول إلى بيئة الإنترنت 
بالنسبة للكثيرين تم بشكل تدريجي إلى حد ما. وفي حالات أخرىء فإن التوسع في نظم 
حوسبة الشبكات الاجتماعية التي تم الحديث عنها في الفصل الحادي والعشرين من هذا 
الكتاب كان له تأثير كبير في المؤسسات من حيث العلاقات مع أصحاب المصلحة لدى 
امؤسسة وسمعتهم. 

تحتاج أي مؤسسة إلى تعريف واضح لا تراه عبارة عن أحداث هامة للمخاطرء ومن ثم 
يجب أن يكون لديها عمليات مطبقة لمتابعة كل أحداث المخاطر الهامة المحتملة ال متنوعة 
تلك» وعلى هذا يمكن للمؤسسة أن تتخذ الإجراءات المناسبة. وفي الواقع يعد هذا أحد أنواع 

التفكر الواعد لحملية تكونَ غالا فة الإذراك داخل العديد عن الكؤمسات: 
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إن عملية النظر في مختلف الأحداث الداخلية والخارجية المحتملة للمخاطر واتخاذ 
قرار بشأن أي من هذه الأحداث يتطلب 3200 الاهتمام وقد يكون افا ضهنا لكن 
إطار (8183/4 ©005) يقدم هنا بعض المساعدة فهو يقترح أن تقوم المؤسسة بوضع بعض 
العمليات الرسمية لمراجعة المخاطر الهامة المحتملة ومن ثم تبدأً عملية اتخاذ الإجراء. 
ذتعا لإرشافات اإظار COO ERD‏ ن المقسسة قد اة يعس الاغثبار بحكا هخ 
الأساليب التالية: 


٠‏ مستودعات الأحداث: ينبغي على إدارة المؤسسة أن تراجع الأحداث الأخرى المتعلقة بالمخاطر 
الشائع حدوثها في الصناعة أو في مجال وظيفي معين لإحدى المؤسسات. بمعنى أنه يجب 
على المؤسسة أن تنظر في إنشاء أرشيف مصدري ل "الدروس المستفادة". ويعد هذا نوعا من 
أنواع البيانات التاريخية التي تم الحصول عليها عن طريق أعضاء في المئؤسسة طالت مدد 
بقائهم فيهاء ويمكنهم تقديم أنواع من التعليقات مثل "لقد جربنا ذلك منذ عدة سنوات» 
ولكن ...". إن هذا النوع من التأريخ في كثير من الأحيان يكون غير موجود في مؤسسات 
اليوم غير أن الإدارة الفعالة لإدارة المخاطر يمكن أن توفر بعض المساعدة في هذا المقام. 
ورش العمل الميسرة: ممكن للمؤسسة أن تعقد ورش عمل للعديد من الإدارات لتناقش 
بداية العوامل المحتملة للمخاطر التي يمكن أن تكون نتيجة للأحداث الداخلية أو 
الخارجية المتنوعة ومن ثم تقوم بتطوير خطط عمل لتصحيح المخاطر المحتملة. يعد 
هذا أحد الأساليب المقترحة التي تبدو جيدةء لكن جرت العادة بالنسبة للعديد من 
المؤسسات أنها لا تقوم بتخصيص جزء من أوقاتها الثمينة للقابلة مجموعات من مختلف 
الإدارات للحديث عن المخاطر باستخدام صيغة من نوع "ماذا سيحدث لو .." 


٠‏ مقابلات واستبيانات واستطلاعات: إن المعلومات التي تخص أحداث المخاطر المحتملة 
يمكن أن تأت من مجموعة واسعة من المصادر. مثل التعليقات على خطابات رضا العملاء 
والتعليقات التي تأي من نظم وسائل التواصل الاجتماعي. أو التعليقات الصادرة من 
المقابلات النهائية مع الموظفين التاركين لوظائفهم. وهناك حاجة للحصول على المعلومات 
وتصنيفها من أجل تحديد أي منها يمكن اعتباره مؤشراً على وجود أحداث مخاطر. وهذه 
الأنواع من الردود ستساعد على بناء ثقافة إدارة المخاطر المؤسسية. 
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©050( تحليل تدفق أو سير العمليات: إن المواد الخاصة بدعم تقنيات تطبيق إطار‎ ٠ 
توصي باستخدام مخططات التدفق لمراجعة العمليات وتحديد الأحداث المحتملة‎ )£RM 
للمخاطرء وبالنسبة للعديد من ال مؤسسات فإن مخططات تدفق العملية تتشابه إلى حد‎ 
بعيد مح وثائق الرقابة الداخلية التي كان ينبغي إعدادها وتحديثها باعتبارها جزءاً من‎ 
من قوانين ساربينز- أوكسلي «50, حيث يتم تحديد‎ ٠٠٤ أعمال التوثيق الخاصة بالبند‎ 
الضوابط الداخلية وأي نقطة من نقاط الضعف الموجودة في العملية الرقابية. وقد تم‎ 
مناقشة هذه العمليات في الفصل الثاني من هذا الكتاب الخاص بقانون ساربينز أوكساي.‎ 

٠‏ الأحداث الرائدة ومحفزات التصعيد: يجب على إدارة المؤسسة أن تقوم بوضع سلسلة 
من الأهداف الخاصة بوحدة الأعمالء ولا شك أن معايير القياس ضرورية لتحقيق تلك 
الأهدافء فمعايير درجة تحمل المخاطر تكون ضرورية لتعزيز الإجراءات التصحيحية. 
فعلى سبيل المثال» قد تقوم مجموعة تقنية المعلومات في المؤوسسة بوضع هدف للحفاظ 
على الضوابط الأمنية المعززة بشأن التهديدات الهجومية لاختراق شبكة تقنية المعلومات. 
وبقياس عدد محاولات الاقتحام التى تم تحديدها خلال فترة معينة» وجدنا أن عتبة 
threshod‏ ذلك تجاوزت رما ثلاث تدخلات في شهر معين. مها أذق إلى اتخاذ مزيد من 
الإجراءات. وتوجد اليوم أدوات برمجية جيدة جدا متاحة تسمى لوحات المعلومات" 
95 لتابعة الأداء الخاص بجوانب المؤسسة: وف الغالب تكون معقدة للغاية. 
هذه التطبيقات تعمل على نحو هاثل عمل التحكم على لوحة العدادات في السيارة: إذ 
إن المؤشرات تعطي إشارات ضوئية في ظروف معينة مثل انخفاض ضغط الزيت أو ارتفاع 
درجة حرارة المحرك. والفكرة هي أن يُقدم تقريرٌ عن حالة المخاطر من خلال رسومات 
بسيطة. سهلة الفهم إلى حد ما مثل الأسهم العلوية أو السفلية أو شعارات إشارة المرور 
الشائعة الحمراء والصفراء والخضراء. 

٠‏ تتبع بيانات أحداث الخسارة: في حين أن أسلوب لوحة المعلومات يقدم فقط متابعات 
لأحداث المخاطر وقت حدوثهاء فإنه يكون من المفيد غالباً وضع الأمور في نصابها بعد 
مرور بعض الوقت. ويشير تتبع حادث الخسارة إلى استخدام كل من مصادر قاعدة 
البيانات الداخلية والعامة لتتبع النشاط ف المجالات ذات الاهتمام. ويمكن لهذه المصادر 
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أن تغطي مجموعة واسعة من المجالات بدءا من قيادة المؤشرات الاقتصادية إلى أن تصل 
إلى معدلات فشل ال معدات الداخلية. ومرة أخرى.: يجب على المنشأة تشيت عمليات 
فعالة لتحديد المخاطر بهدف تتبع كل من الأحداث الداخلية والخارجية المتعلقة 
بالمخاطر. 
إن أدوات وأساليب تحديد المخاطر التي تمت مناقشتها للتو يمكن أن تسفر عن بعض 
المعلومات القيمة جدا والمفيدة للمؤسسة: والتي تحدد إما المخاطر وإما الفرص أو الاثنين 
معا. إن الحل يكمن في الحاجة إلى تحليلات جيدة للبيانات» فضلاً عن الشروع في خطط 
عمل» سواء للحماية من المخاطر أو للاستفادة من الفرص اللحتملة. 


مكونات إطار (181231 ©005): تقييم المخاطر: 

تحدكا عن مكون البيعة الداغلية باغتبارة تو يجا أو حجر زاؤية لإطار 583 66036): 
مع مكون المتابعة باعتباره عنصرا أساسياً لدعم الإطار. ويقع عنصر تقييم المخاطر تقريبا 
في وسط الإطار ويمثل جوهر إطار (812031 0050). كما يسمح مكون تقييم المخاطر 
للمؤسسة بالنظر في الآثر المحتمل للأحداث المرتبطة بالمخاطر المحتملة على إنجاز المؤسسة 
لأهدافها. ويجب تقييم هذه المخاطر من منظورين: احتمالية حدوث المخاطرء وتأثيرها 
المحتمل. وكجزء أساسي لعملية تقييم المخاطر هذه» تحتاج الإدارة أيضا إلى أن تنظر في 

مفهومين أساسيين: المخاطر المتأصلة والمخاطر اللتبقية. 

-١‏ المخاطر المتأصلة (الكامنة): كما حددها مكتب الحكومة الأمريكية للإدارة والميزانية: 
فإن المخاطر المتأصلة هي "إمكانية هدر أو فقدان أو استخدام غير مصرح به أو اختلاس 
أو استغلال بسبب طبيعة النشاط نفسه". والعوامل الرئيسية التي تؤثر في المخاطر 
المتأصلة في أي نشاط داخل الشركة هي حجم ميزانيته وقوة إدارة المجموعة وحنكتها 
وسسساطة الطبيعة الأصيلة لأنشطتها. وتكون المخاطر المتأصلة خارجة عن سيطرة الإدارة 
فقاجة ok‏ انين BN‏ فلن ينك لقال كاز السديكة ارقم قف وول 
مارت ۷4122۲٤‏ كبيرة جدا ومهيمنة على أسواقها ويواجهها مستوى معين من مختلف 
المخاطر المتأصلة بسبب حجمها الهائل. 
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؟- المخاطر المتبقية: هي تلك المخاطر التي تبقى بعد استجابة الإدارة لتهديدات المخاطر 
وتطسق الإجراءات المضادة. و نوجل ذاتا سنوی ما من ا ملخاطر امتشقية. 


يدل هذان المفهومان على أن إدارة المؤسسة ستواجه دائما بعض المخاطر. فبعد أن تقوم 
امؤسسة بمعالجة المخاطر التي خرجت من عملية تحديد ال مخاطرء فإنها تظل تواجه بعض 
المخاطر المتبقية التي يلزم علاجها لاحقاء كالعديد من المخاطر المتأصلة القليلة التأثير. وول 
مارت» على سبيل المثال» مكن أن تتخذ بعض الخطوات للحد من المخاطر المتأصلة المتعلقة 
بهيمنة السوق. لكنها لا هكن أن تفعل شيئاً أساسياً بشأن المخاطر المتأصلة (الكامنة) 
لزلزال طبيعي كبير في منطقة عمليات التشغيل. 

إن الاحتمالية والتأثير هما أيضاً مكونان رئيسيان آخران ضروريان لتقييم المخاطر. 
فالاحتمالية هي إمكانية حدوث مخاطرة ماء وتوصف غالبا بأنها احتمال مرتفع أو احتمال 
متوسط أو احتمال منخفض للمخاطر التي تحدث. وتوجد بعض الأدوات الكمية الجيدة 
هنا كذلك» لكنها غير مجدية كثيرا في تقدير احتمالية حدوث المخاطرة من حيث العلامة 
العشرية المتعددة إذا لم يكن هناك أي أساس لتطوير ذلك العدد الدقيق إلى ما هو أبعد 
من الحسابات الإحصائية الاعتيادية. 

إن تقدير التأثير في حالة حدوث المخاطرة يعتبر أسهل بعض الشيء. فيمكن أن تقوم 
المؤسسة بوضع بعض التقديرات الدقيقة نسبيا لأمور مثل تكلفة استبدال المرافق وا معدات» 
تكلفة استعادة نظام معينء وإلى حد ما تكلفة الفرص التجارية الضائعة (الأعمال الخاسرة) 
بسبب العطل. وعلى كل حالء فإن المفهوم الشامل وراء إدارة المخاطر المؤسسية )٤۸۷(‏ ليس 
تطوير حسابات دقيقة وحسابات على المستوى الاكتواري فيما يخص ال مخاطر لكن للحصول 
على مقياس معين لتوفير إطار فعال لإدارة المخاطر. ويمكن تطوير تحليل احتماليات المخاطر 
والتأثيرات المحتملة من خلال سلسلة من المقاييس النوعية والكمية. فالفكرة الأساسية هي 
تقييم جميع المخاطر التي تم تحديدها وتصنيفها من حيث الاحتمالية والتأثير بطريقة متناغمة. 
مكونات إطار (151831 ©605): الاستجابة للمخاطر: 


إن الخطوة التاليه بعد تقييم المزيد من المخاطر الهامة وتحديدهاء هي تحديد كيفية 
الاستجابة طمختلف هذه المخاطر التي تم تحديدها. وتعد هذه من الملستوليات الإدارية 
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فالإدارة هي التي تقوم بإجراء مراجعة دقيقة لاحتمالات المخاطر المقدرة وتأثيراتها المحتملة: 
كما أنها تأخذ في الاعتبار التكاليف والفوائد المرتبطة بها. ولوضع إستراتيجيات ملائمة 
للاستجابة للمخاطر يتم اتباع أي أسلوب من الأساليب الأربعة الأساسية: 

-١‏ التفادي (التجنب): إستراتيجية تعتمد البعد عن ال مخاطرء مثل بيع أحد وحدات الأعمال 
التي يمكن أن تؤدي إلى مخاطرة أو الخروج من منطقة جغرافية محل قلق. وتكمن 
صعوبة تطبيق هذه الإستراتيجية في آن المؤسسات في كثير من الأحيان لا تتخلى عن 
ا منتج أو تبتعد عن المخاطر إلا بعد أن يقع الحدث الخاص بال مخاطرة. فإذا لم تكن 
هناك رغبة في المخاطر حتى وإن كانت منخفضة للغاية. فمن الصعب الابتعاد عن 
منطقة العمل أو خط الإنتاج بسبب ظهور مخاطر محتملة في المستقبلء هذا إذا ما 
كان كل شيء في الوقت الحاضر يسير على ما يرام في نواح أخرى. وقد تكون إستراتيجية 
التفادي مكلفة إذا كانت الاستثمارات قد اعتمدت للدخول في منطقة مرتبطة بحدوث 
انسحاب تبعي لتجنب المخاطر. 

"- التخفيف: قد تكون قرارات الأعمال قادرة على الحد من مخاطر معينة. فتنويع 
ا منتجات قد يقلل من مخاطر الاعتماد القوي للغاية على خط إنتاج واحد رئيسي. كما 
أن تقسيم مركز عمليات تشغيل تقنية المعلومات إلى موقعين منفصلين جغرافيا سيقلل 
من مخاطر بعض الأعطال الكارثية. وتوجد مجموعة واسعة من الإستراتيجيات الفعالة 
في كثير من الأحيان للحد من المخاطر على جميع المستويات التي تنزل بها إلى المرحلة 
الدنياء لكنها تكون مهمة من الناحية العملية مموظفي التدريب المتعدد التخصصات. 

-٣‏ االشاركة: تتقاسم جميع المؤسسات تقريبا وكذلك الأفراد بصورة منتظمة بعض 
مخاطرها من خلال شراء التأمين لتطويق تلك المخاطر أو مشاركتها. وهناك العديد 
من التقنيات الأخرى المتوفرة هنا كذلك. فبالنسبة للمعاملات امالية: فإن المؤسسة 
يمكن أن تنخرط ف العمليات التحوطية للحماية من تقلبات الأسعار المحتملة. ومن 
الأمثلة الشائعة على التطويق هو استخدام المستثمر لخيارات البيع أو الطلب لتغطية 
التحركات القوية للأسعار. كما مكن مشاركة المخاطر والمزايا المحتملة للأعمال من خلال 
اتفاقيات مشتركة. 
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الول وة بها اس تة اللالجراء. قيقلا عتما كوو لوی اة اة 
ذاق" ضد بعض اللخاطرء شدلا من شراء وقفة تامين ق الأساس يجب على اأؤسسة 
أن تنظر في احتمالية المخاطرة وأثرها في ضوء تحمل المخاطر ال موضوعة: وبعد ذلك 
تقرر ما إذا كانت ستقبل هذه المخاطرة أم لا. ونظرا لكثرة المخاطر وتنوعهاء بمكن 
أن يكون هذا هو نهج المؤسسة: فالقبول غالبا ما يشكل إستراتيجية ملائمة لبعض 
المخاطر. 
وينبغي على الإدارة وضع إستراتيجية عامة للاستجابة لكل مخاطرة من مخاطرها 
باستخدام نهج قائم على أحد هذه الإستراتيجيات الأربع العامة. وللقيام بذلك: ينبغي 
النظر ف التكاليف مقابل الفوائد الناتجة عن كل استجابة للمخاطر المحتملة لمواءمتها 
بشكل أفضل مع الرغبة في المخاطر الإجمالية للمؤسسة. فمثلاء إدراك المؤسسة بأن 
تال مغاطرة معينة يكون متخلا سبي ميتم وزات ابل درج تحمل اة 
للمخاطرةء وهذا يشير بدوره إلى أن التأمين يجب شراؤه لتوفير الاستجابة للمخاطر 
المحتملة. وبالنسبة لكثير من المخاطرء فإن الاستجابات المناسبة تكون واضحة ومفهومة 
تقريبا للجميع. فعملية تشغيل تقنية امعلومات» على سبيل المثال. ينبغي أن تستهلك 
الوقت وال موارد لإجراء نسخ احتياطية لملفات البيانات الرئيسية وتنفيذ خطة استمرارية 
العمل 
إن ا مؤسسة» عند هذه النقطة»ء يجب أن تعود إلى الأغداف العديدة للمخاطر التي 
تم وضعها وكذلك نطاقات تحمل تلك الأهداف. ومن ثم ينبغي أن تعيد مناقشة كل من 
الاحتمالية والتأثير المرتبطين بكل مخاطرة من المخاطر التي تم تحديدها ضمن أهداف المخاطر 
تلك لوضع تقييم لكل من هذين الصنفين للمخاطر. كما يلزم إجراء تقييم شامل لاستجابات 
المخاطر المخطط لها وكيفية مواءمة تلك المخاطر مع درجات التحمل الكلية طمخاطر المؤسسة. 
وعند هذه النقطة في عملية تقييم المخاطرء يتعين على المؤسسة أن تقيّم الاحتمالية والتأثير 
المحتمل لكل من المخاطر المحيطة بأهدافهاء وكذلك بعض التقديرات لكل منهما. وتقوم 
بالخطوة التالية المتمثلة في تطوير مجموعة من استجابات المخاطر المحتملة. ولعل هذه 
هي أصعب خطوة في بناء إطار برنامج فعال لإطار (/58811 0050). فمن السهل نسبيا 
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تحديد خمسة ف المئه من احتمالية مخاطر وقوع حريق في حاوية نفايات» ومن تم وضع 
الخطوط العريضة للاستجابة للمخاطر كتثبيت طفاية حريق في مكان قريب. ومع ذلك» فإن 
الاستجابات يلعظم المشاظر خن أك فيد وتتطلن: خظطا تقصيلتة إل خد ها اة 
للمخاطر. 

ويجب على المؤسسة في البداية استعراض جميع مخاطرها الرئيسية المحددة ذات التأثير 
العالي والاحتمالية العالية ووضع سلسلة من خطط الاستجابة للمخاطر. وعلى أية حالء 
قد تكون هذه عملية إدارية صعبة. وعلى الرغم من أنها قد تكون سهلة نسبياء كاتباع 
مثالنا السابقء الخاص بتشيت طفاية حريق لتوفير الحماية من حرائق حاوية نفايات: 
فإن الأمورلا تكون عادة بهذه البساطة. والنقطة الأساسية هنا تتضح في أن عملية 
تطوير عمليات الاستجابة للمخاطر قي حد ذاتها تتطلب قدرا كبيراً من التخطيط والتفكير 
الإستراتيجي. إن البدائل العديدة والمختلفة للاستجابة للمخاطر تنطوي على التكاليف 
والوقت والتخطيط التفصياي للمشروع. وبالإضافة إلى التخطيط والتفكير الإستراتيجي» 
فإن هذه العملية الخاصة بتخطيط الاستجابة للمخاطر تتطلب مساهمة إدارية كبيرة 
والموافقة على التعرف على مختلف الاستجابات البديلة للمخاطر ووضع خطط عمل موضع 
تنفيذ لتحقيق الاستجابات المناسبة. ويدعو إطار (158131 0050) إلى مواجهة المخاطر 
التي يتعين النظر فيها وتقييمها على مستوى الكيان أو على مستوى المحفظة وتقييمها 
وتقديرها لكل وحدة من وحدات العمل الفردية أو تقسيمها حسب الإدارة أو حسب 
الوظيفة وأساليب مماثلة للنظر في مخاطر المؤسسة. وينبغي بعد ذلك تلخيص المخاطر 
بناء على أثرها وتكرار حدوثها. وكما هو مبين في الشكل التوضيحي (۷-۸)» يعد هذا أحد 
أنواع الاتصالات المستخدمة الذي من شأنه أن يساعد الإدارة العليا ومجلس الإدارة في فهم 
محفظة من ال مخاطر التي تواجه الملؤسسة 
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مرتفع | متو سط ف ف ع 
سرة أو اكثر كل سرة من سنه إلى أقل من مرة كل 
سنة ثلاث سنوات خمس سنوات 
تكرار الحدوث 


مكونات اطار(M ٤۸‏ 605©0©): أنشطة الرقابة: 

إن الأنشطة الرقابية لإطار (/8183 0050©) هي السياسات والإجراءات اللازمة لضمان 
تنفيذ الاستجابات للمخاطر التي تم تحديدها. وعلى الرغم من أن بعض هذه الأنشطة 
قد تكون مرتبطة فقط بالاستجابة للمخاطر التي تم تحديدها وال مخاطر المقبولة في منطقة 
واعدة من اللؤسمة: فإنيا تتداخل غالبا من خلال الإذارات والؤحدات التعددة. وجب 
أن ترتبط أنشطة الرقابة الخاصة بإطار (/8123 0050) بشكل وثيق مع عنصر الاستجابة 
للمخاطر الذي سبق مناقشته. 

وبعد أن يتم اختيار الاستجابات المناسبة للمخاطر» يجب على إدارة المؤسسة اختيار 
أنشطة الرقابة الضرورية لضمان أن استجابات المخاطر تلك يتم تنفيذها في الوقت المناسب 
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وبطريقة فعالة. إن عملية مراجعة مدى صحة تنفيذ أنشطة الرقابة في العادة تكون 
مشابهة جداً للعمليات التي تمارس على أنها جزء من البند ٤٠٤‏ من قوانين ×50 الخاص 
بتقيبمات الرقابة الداخلية" التى تم الحديث عنها في الفصل الثاني من هذا الكتاب. 
ويمكن تنفيذ أنشطة الاستجابة للمخاطر الخاصة بإطار (18131 0050) بالخطوات 
التالية: 
-١‏ تحقيق فهم قوى للمخاطر الؤترة التي تم تحديدها وضع إجراءات رقابيه لمتابعه تلك 
المخاطر أو تصحيحها. 
"- وضع إجراءات اختبارية لتحديد ما إذا كانت تلك الإجراءات الرقابية المتعلقة با لمخاطر 
تعمل على نحو فعال أم لا. 
"- أداء اختبارات لإجراءات الرقابة لتحديد ما إذا كانت عملية متابعة المخاطر التي تم 
اختبارها تعمل بشكل فعال وكما هو متوقع أم لا. 
-٤‏ إجراء التعديلات أو التحسينات الضرورية لتحسين عمليات متابعة المخاطر. 
هذه العملية ذات الخطوات الأربع هي في الأساس ما تخضع له المؤسسات من متطلبات 
قانون ×50 التي كانت تقوم بمراجعة عمليات الرقابة الداخلية لديها واختبارها والتأكيد 
على أنها تعمل بشكل مناسب. ويوجد فرق رئيسي هنا مضمونه أن المؤسسة مطالبة بشكل 
قانوني بالامتثال لإجراءات قانون ×50 من أجل التأكيد على ملاءمة ضوابطها الداخلية 
مدققيها الخارجيين. ولا توجد مثل هذه المتطلبات القانونية مع اطار .(COSO ERM)‏ 
وينبغي أن تسعى المؤسسة لتثبيت أنشطة رقابية لمتابعة المخاطر من أجل تقييم المخاطر 
المختلفة التي قامت بتحديدها. وبسبب الطبيعة الحساسة للعديد من المخاطر التي 
فغرض الها اة قان اللتابعة الإذارية للمفاظر تكون حساس ةدا بالنسية للسلامة 
العامة للمؤسسة نظراً لطبيعة المخاطر المختلفة التي قد تواجهها. 
إن العديد من الأنشطة الرقابية المندرجة تحت الضوابط الداخلية الصادرة عن لجنة 
المنظمات الراغية (6050) تكون سهلة التحديد والاختبار إلى حد ما نظرا للطبيعة 
ا محاسبية بالنسبة للكت ين» وهي يشكل عام تشفل ها بلي: 
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٠‏ فصل اللهام: إن المفهوم الأساسي للرقابة هو أن الشخص الذي يبدأ المعاملة لا ينبغي أن 

يكون هو الشخص نفسه الذي يقوم باعتماد تلك المعاملة. 
٠‏ مسارات التدقيق: ينبغي تنظيم العمليات. فمثل هذه النتائج النهائية يمكن أن تعزى 

بسهولة إلى المعاملات التي تكون قد تسببت في وجود تلك النتائج. 
٠‏ الأمن والسلامة: يجب أن يكون لعمليات الرقابة إجراءات رقابية مناسبةء وف مثل هذه 

الحالة مكن للأشخاص ال مخولين فقط مراجعتها أو تعديلها. 
٠‏ التوثيق: يجب أن تكون العمليات موثقة بشكل مناسب. 

إن تلك الإجراءات الرقابيةء وغيرهاء يسهل استيعابها بشكل جيد إلى حد ماء وتقبل 
التطبيق على جميع عمليات الرقابة الداخلية المعمول بها في المؤسسة: كما أنها تنطبق إلى 
حد ما على كثير من الأحداث المتعلقة بالمخاطر. فالعديد من كبار المديرين يمكنهم بسهولة 
تحديد بعض الضوابط الأساسية اللازمة في العديد من عمليات الأعمال. فعلى سبيل المثالء 
إذا طلب منهم تحديد نوعيات معينة من الضوابط الداغلية التي ينبغي أن تُبنى داخل 
نظام تقنية ا معلومات الخاص بحسابات المدفوعات» فإن العديد من المهنيين سيقومون 
بتحديد نقاط رقابة هامة كوجوب اعتماد الشيكات الصادرة من النظام من قبل عدة 
أشخاصء كما يجب أن تكون السجلات المحاسبية في موضع التنفيذ لتتبع الشيكات الصادرة 
كما ينبغي أن تكون عملية إصدار الشيك للأشخاص المخولين فقط ممن يمكنهم بدء مثل 
هذه المعاملات المالية. وتعد هذه بشكل عام إجراءات الرقابة المفهومة جيدا وعلى نطاق 
واسع. وتواجه المؤسسة غالبا مهمة أكثر صعوبة في تحديد أنشطة الرقابة لدعم إطار إدارة 
المخاطر المؤسسية الخاص بها. 
وكما تهدثنا سائقاء فكهن من مون تحعديد احداث إذازة اللغاطر للؤسسة قلق 

فإن الإدارة تحتاج إلى التفكير في فئات المخاطر هذه من حيث مجالات المخاطر الرئيسية 
لعمليات التشغيلء مثل الإيرادات والشراء وإنفاق رأس المال» ونظم المعلومات. كما 
مكن تعريف أنشطة رقابية بعينها تتعلق با مخاطر داخل كل فئة من هذه الفئات» سواء 
للمؤسسة بكاملها آم التي تغطي وحدة أو إدارة ما. وبالرغم من عدم وجود مجموعة من 
الأنشطة الرقابية المقبولة أو المعيارية الموحدة لإدارة ا لمخاطر المؤسسية حتى هذا الوقت» 
فإن وثائق إطار (581231 005©0©) تشير إلى عدة مجالات على النحو التالي: 


دلبل المسئول ١‏ لتنفيذي لحوكمة تقنية المعلومات ۳٣۵‏ 


الفصل الثامن 


ه مراجعات المستوى الأعلى: بينما تكون الإدارة العليا غافلة إلى حد ما عن إجراءات الرقابة 
الداخلية الخاصة ب"هل الحسابات المدينة تساوي الحسابات الدائنة؟" التي تغطيها فرق 
ومدققو الحسابات المالية لديهاء فإنهم يجب أن يكونوا على علم تام بأحداث المخاطر التي 
تم تحديدها داخل الوحدات التنظيمية: وينبغي إجراء مراجعات بصورة منتظمة وعلى 
هستوى عال حول وضع ال مخاطر التي تم تحديدها وكذلك التقدم المحرز في استجابات 
المخاطر. هذا النوع من المراجعة المنتظمة إلى جانب الإجراءات التصحيحية المناسبة 
العالية المستوى يعد نشاط الرقابة الرئيسي لإدارة المخاطر المؤسسية. 

٠‏ الإدارة الفنية أو الوظيفية المباشرة: بالإضافة إلى المراجعات ذات المستوى الأعلى المذكورة 
فإنه ينبغي أن يكون ديري الوحدات الوظيفية والوحدات المباشرة دور رئيسي في متابعة 
الأنشطة الرقابية للمخاطر. وهذا آمر مهم ولا سيما في المؤسسات الكبيرة والمتنوعة حيث 
لا يجب أن تتم الأنشطة الرقابية على مستوى وحدة محلية فحسبء ومن ثم دفع الهرم 
التنظيمي إلى مستوى إدارة مركزية معينة. وبدلا من ذلك يجب أن تتم أنشطة الرقابة 
ذات الصلة بالمخاطر في إطار وحدات تشغيل منفصلةء في ظل اتصالات وحلول المخاطر 
التي تقع عبر قنوات المؤسسة. 

٠‏ معالجة المعلومات: سواء كانت عمليات نظم تقنية معلومات أم أشكالا أكثر بساطة 
كورقة أو رسائل» فإن إجراءات معالجة المعلومات تمثل عنصرا أساسياً في الأنشطة الرقابية 
المتعلقة بالمخاطر الخاصة بالمؤسسة. إن إجراءات الرقابة المناسبة هناء مع التركيز على 
عمليات تقنية ال معلومات للمؤسسة ومخاطرهاء تم الحديث عنها بمزيد من التفصيل في 
الفصل الرابع عشر من هذا الكتاب حول تطبيق النظم المتكاملة. 

٠‏ الضوابط المادية: يوجد العديد من الأحداث المتعلقة بالمخاطر تشتمل على أصول مادية 
كالمعدات والمخزون والأوراق اطالية» ومرافق مادية كمصنع. وسواء كانت هذه الإجراءات 
المادية تتعلق بالجرد أم بعمليات التفتيش أو أمن أحد المصانع: فإنه يجب على المؤسسة 
أن تضع إجراءات ملائمة للأنشطة الرقابية المادية القائمة على المخاطر. 

٠‏ مؤشرات الأداء: توظف المؤسسة الحديثة النموذجية اليوم مجموعة واسعة من أدوات 
إعداد التقارير المالية والتشغيلية. ويمكن استخدام العديد من هذه الأدوات كما هي 


۴ ليل المسئول التنفيذي لحوكمة تقنية اللعلومات 


قضايا حوكمة تقنية المعلومات 


أو بعد التعديل عليها لدعم إعداد تقارير الأداء المرتبطة بأحداث المخاطر. وق كثير من 
الحالات» يمكن تعديل أدوات الأداء الكلي للمؤسسة لدعم هذا المكون المهم للنشاط 
الرقابي. 

٠‏ الفصل بين المهام: هذا هو النشاط الرقابي التقليدي» سواء كان للضوابط الداخلية 
لإجراءات العمل أو إدارة المخاطر. فالشخص الذي يبدأ إجراءات معينة لا ينبغي أن يكون 
هو الشخص نفسه الذي يجيز أو يوافق على تلك الإجراءات. هذا النشاط الرقابي الرئيسي 
مهم» سواء كان ذلك في وحدة أعمال صغيرة يُطلب فيها من مشرف الموظف أن يفحص 
ويوافق على إجراءات الموظف أم من خلال الرئيس التنفيذي الذي يجب أن يحصل على 
الموافقة الرقابية من مجلس الإدارة. 

إن هذه الأنشطة الرقابية الخاصة بإطار (۸[ ٤۸‏ 0050) ممكن توسيعها لتشمل مجالات 
اشرق رئيسية. 'ويكون تفضا مخضا للوحدات اللسعقلة ذاعل المؤسسة: إلاآآن كل تفاط 
من هذه الأنشطة: سواء كان بشكل فردي أم جماعي» ينبغي أن يكون من العناصر المهمة 

في دعم إطار إدارة المخاطر المؤسسية للمؤسسة. 


مكونات اطار (11231 60050): المعلومات والاتصالات: 

على الرغم من وصف المكون الخاص بالمعلومات والاتصالات على أنه بند منفصل في 
الشكل التوضيحي (۱-۸) من إطار (8111/1 0050).: فإنه يصف مجموعة من الأدوات 
والعمليات التي تربط بين المكونات الأخرى لإطار (۷ ٤۸‏ 20050). إن مكون المعلومات 
والاتصال هذا يربط جميع المكونات الأخرى بعضها مع بعض. ويبين الشكل التوضيحي 
(۸-۸) تدفقات المعلومات والاتصالات عبر مكونات (18131 0050) الأخرى. فعلى سبل 
المثال» يتلقى مكون استجابة االمخاطر مدخلات المخاطر المتبقية والمتأصلة من مكون تقييم 
ا مخاطر وكذلك دعم درجة تحمل ال مخاطر من مكون وضع الأهداف. ثم يقوم مكون 
استجابة المخاطر الخاص بإدارة المخاطر المؤسسية (81231) بتقديم استجابة المخاطر 
وبيانات محفظة المخاطر إلى أنشطة الرقابة: وكذلك التغذية الراجعة لاستجابة االمخاطر إلى 
مكون تقييم المخاطر. وبالنظر إلى مكون المتابعة كونه قانما بمفردة, نجد أنه لا يوجد به 
اتصال معلومات مباشرء لكن به مسئولية شاملة عن مراجعة كل هذه الوظائف. 


دليل المسئول التنفيذي لحوكمة تقنية المعلومات لف 


الفصل الثامن 


شكل توضيحي (۸-۸) 
تدفق المعلومات والاتصال عبر مكونات ERM‏ 
البيئة الداخلية ٠‏ 
٠١ |‏ فلسفة إدئرة المخاطر ‏ 
٠‏ رغبة المؤسسة في المخاظر 











وبينما يكون من السهل نسبياً رسِم مثل هذا المخطط البسيط للتدفق لبيان الكيفية 
التي ينبغي أن ترسل بها المعلومات من أحد مكونات إطار (8183/1 ©005) إلى الآخر؛ 
فإن تلك العملية تكون في كثير من الأحيان أكثر تعقيدا في ربط مختلف مسارات النظم 
والمعلومات معا. فلدى العديد من المؤسسات شبكة ويب معقدة من نظم معلومات لا 
تقوم دائما على نظم معلومات مرتبطة بشكل جيد لخدمة عملياتها التشغيلية والمالية 
الأساسية. وتصبح هذه الروابط أكثر تعقيدا عند محاولة ربط عمليات إدارة ا لمخاطر 
المؤسسية المختلفة نظرا لأن الخديد من التطبيقات الأساسية للمؤسسات لا تتلائم بشكل 
مباشر مع غمليات تحديفا المخاطر وتقييم المخاطر واستجابة اللخاطر. 


۴# ليل المسئول التنفيذي لحوكمة تقنية المعلومات 








قضايا حوكمة تقنية المعلومات 


ستكون تلك المبادرة الخاصة بإدارة المخاطر المئؤسسية قليلة القيمة مالم يتم إيصال 
رسالة حول أهمية هذه المبادرة الخاصة بإدارة المخاطر المؤسسية (8181/1) إلى جميع 
أصحاب المصلحة في المؤسسة. ففي كثير من الأحيان ينبغي أن يكون ذلك في شكل رسالة 
موجهة من الرئيس التنفيذي (80©). والفكرة من وراء ذلك هي إيصال رسالة توضح 
أهمية إدارة المخاطر المؤسسية في جميع أنحاء المؤسسة. وهذه النوعية من الرسائل تكون 
ذات قيمة عالية» وخاصة عندما ترغب المؤسسة في إيصال رسالةء على سبيل المثال» مفادها 
أنه على جميع أصحاب المصلحة أن يكونوا حذرين جداً بشأن تبني بعض المشاريع التي 
قد تنطوي على مخاطر. وتكون العملية أكثر صعوبة إذا كانت المؤسسة تريد أن تفيد بأنه 
يجب أن نترك بعض العوامل خارج نطاق سيطرتنا قليلا ويجب علينا تقبل بعض المخاطر 
أحيانا. إن الرسالة التي يتم تفسيرها بشكل غير صحيح يمكن أن تفتح الباب على مصراعيه 
بشكل فعال وبشكل غير ملائم للقرارات والمشاريع المحفوفة با مخاطر. 


مكونات إطار (1581231 ©005): المتابعة 

تم وضع هذا المكون في قاعدة مجموعة المكونات الأفقية للإطارء فالمتابعة في إطار 
ERM)‏ 0050) ضرورية لتحديد ما إذا كانت جميع عناصر إدارة المخاطر المؤسسية 
المثبتة لا تزال تعمل على نحو فعال أم لا. ويقوم آفراد المئؤسسة بتغيير عمليات الدعم 
وتنفيذها وكذلك الشروط الداخلية والخارجية المحيطة. ولبناء مستوى معين من الثقة لدى 
جميع الأعضاء في المؤسسة في أن إدارة المخاطر المؤسسية لديهم تعمل بشكل فعال ودائم: 
لابد من وضع عنصر المتابعة الخاص بإدارة ال مخاطر ال مؤسسية وتفعيله. 

إن عمليات المتابعة الجارية يمكن أن تكون وسيلة فعالة للإشارة إلى الاستثناءات أو 
الانتهاكات التي تحدث في عملية إدارة المخاطر المؤسسية بشكل عام. ولوضع إطار فعال 
لإدارة المخاطر: لابد من توسيع نطاق هذه المتابعة لتشمل ال مراجعات الجارية حاليا 
لجميع العمليات الخاصة بإدارة المخاطر المؤسسية التي تمتد من عملية تحديد أهداف 
الأنشطة الرقابية الخاصة بإدارة المخاطر المؤسسية الجارية حاليا إلى أن تصل إلى سير عمل 
تلك الأنشطة والتقدم الحاصل بها. وقد تشمل التابعة الخاصة بإطار (78113/1 0050) 
الأنشطة التالية: 


دليل المسئول التنفيذي لحوكمة تقنية ابمعلومات ۲۹۹ 


الفصل الثامن 


٠‏ تطبيق آلية إدارية قوية ومستمرة لرفع تقارير عن الأوضاع النقدية ومبيعات الوحدة 
وغيرها من البيانات المالية والتشغيلية الرئيسية. ولا يجب على المؤسسة ا منظمة تنظيما 
جيداً أن تنتظر حتى نهاية الشهر المالي أو ما هو أبعد من ذلك لإعداد مثل هذه النوعيات 
من تقارير الحالة التشغيلية والمالية. وينبغي توسيع نطاق آدوات إعداد التقارير لتشمل 
قاس وة اة اللشاظ الو سس خم 5ات يعض أشكال التقارى اة 
القى قجري على جميع الاستؤيات اللناسبة للمؤسسة 

يجب وضع عملياتغاصة برقع تقارير ذورية اة الجوانب الرقيسشية معان المحاظر 
الول نهنا فة أفهرا كمحدلاك الغا الهو أو اتام اكرتقية. هة من 
مجرد الإبلاغ عن إحصائيات دورية. يتبغي اكل هذه التقارير أن تؤكد التبيهات المعداقة 
بالمخاطر مثل الاتجاهات والقارنات الإحصائية مع الفترات السابقة. 

٠‏ الإبلاغ عن الوضع الحا والدوري للنتائج المتعلقة با مخاطر والتوصيات الواردة في تقارير 
التدقيق الداخلي والخارجي. 

٠‏ تحديث المعلومات المتعلقة بالمخاطر باستخدام مصادر كالقوانين الحكومية المنقحة 
واتجاهات الصناعة والأخبار الاقتصادية العامة. ونؤكد مرة أخرى أنه ينبغي أن يكون 
هذا النوع من التقارير الاقتصادية والتشغيلية متاحا للمديرين على جميع المستويات. 


وتشير متابعة التقييم المستقل أو الفردي إلى المراجعات التفصيلية لعمليات المخاطر 
الفردية التي يقوم بها مراجع مؤهلء مثل إدارة التدقيق الداخلي. وقد تقتصر المراجعة هنا 
على مجالات محددة أو تشمل عملية إدارة المخاطر المؤسسية الكاملة لوحدة تنظيمية. وفي 
هذا النوع الآخير من المراجعة يمكن الاستعانة بخبراء استشاريين خارجيين مؤهلين لتقييم 
فاعلية إدارة المخاطر المؤسسية في المؤسسة بأكملها. ومن ناحية أخرىء فبالنسبة للعديد 
من المؤسسات: قد تكون مؤسسة التدقيق الداخلي القوية هي المصدر الداخلي الأفضل 
للقيام بتنفيذ مراجعات إدارة ال مخاطر المؤسسية. وسواء تم ذلك من خلال مدققين داخليين 
أم مستشارين خارجيين أو كادر من الموظفين المدربين في المؤسسة. فإن أي مراجعة محددة 
من المراجعات الفردية الخاصة بعمليات إدارة المخاطر اللمؤسسية قد تستخدم الأدوات 
التالية: 


ا دليل المسئول التنفيذي لحوكمة تقنية المعلومات 


قضايا حوكمة تقنية المعلومات 


٠‏ رسم خرائط سير العمليات: كجزء من أي عملية محددة لإدارة المخاطر المؤسسية: يتعين 
على الأطراف المسئولة تطوير مخططات توثق عمليات إدارة المخاطر المؤسسية الخاصة 
بهم. ويتطلب هذا النظر في الوثائق التي عدت لهذه العملية لتحديد ما إذا كانت وثائق 
اة متححة نظرا الظروف الال ولاعراء التحديلات اللا هل محططات العمليات: 


٠‏ مراجعات المخاطر والمواد الرقابية: إن عملية إدارة ا مخاطر المؤسسية ينتج غالبا عنها 
كمية كبيرة من المواد الإرشادية والإجراءات الموثقة وصيغ لتقارير جديدة وما شابه ذلك. 
وكذلك تكون هناك قيمة حقيقية بالنسبة للفريق المخصص للقيام مهام إدارة ا مخاطر 
المؤسسية أو لفريق التدقيق الداخلي أو لفريق ضمان الجودة الخاص بالمؤسسة عند قيام 
أي منهم بمراجعة المواد المتعلقة با مخاطر والمتابعة من ناحية فاعليتها. 

٠‏ المقارنة ال لمعيارية: ويقصد بها هنا عملية النظر في الإدارات الأخرى ال معنية بإدارة المخاطر 
المؤسسية لتقييم عملياتهم التشغيلية وتطوير نهج قائم على أفضل ممارسات الآخرين. 
إن مهمة جمع هذه المعلومات للمقارنة بها تكون غالباً مهمة صعبة عندما تمتنع في كثير 
من الأحيان المؤؤسسات المتنافسة عن تبادل البيانات التنافسية. وتعمل هذه العملية 
بشكل مثالي عندما يكون هناك اتصالات وعلاقات مهنية محسنة ومباشرة من نوع واحد 
لواحدء ومعلومات عن الطريقة التي استخدمها البعض لحل بعض المشاكل الممماثلة التي 
تكون غالباً قيمة ومفيدة للغاية. 

٠‏ الاستبيانات: طريقة جيدة لجمع المعلومات من مجموعة واسعة من الناس» ويمكن إرسال 
الاستبيانات إلى أصحاب المصلحة المعنيين مع طلبات الحصول على معلومات محددة. يعد 
هذا أسلوب قيم للمتابعة عندما يكون المستهدفون من الاستطلاع منتشرين في أماكن 
جغرافية مختلفة: مثل مسح متابعة المخاطر للعاملين في مؤسسة تجزئة على الصعيد الوطني. 

٠‏ جلسات ميسرة: يمكن جمع معلومات قيمة غالبا من خلال سؤال أشخاص يتم اختيارهم 
للمشاركة في جلسة مجموعة التركيز يرأسها قائد مؤتمر ذو مهارة. وهذا هو النهج المتبع من 
قبل العديد من المؤسسات لجمع معلومات بحوث السوق من خلال ما يسمى بمجموعات 
التركيز. ويمكن لهذا النهج العام نفسه أن يستخدم لجمع فريق من الناس - في كثير من 
الأحيان من المناصب ال مختلفة في المؤسسة - لمراجعة وضع المخاطر المؤسسية لمجال معين. 


دليل المسئول التنفيذي لحوكمة تقنية المعلومات ۷1 


الفصل الثامن 


إن الغرض من عملية المتابعة هذه هو تقييم مدى الجودة التي يعمل بها إطار إدارة 
المخاطر المؤسسية في المؤسسة. ولابد من إبلاغ المديرين المسؤولين في إدارة ا مخاطر 
المؤسسية في منطقة محددة يتم حاليا متابعتها وف المكتب الخاص بإدارة المخاطر اللؤسسية 
بأوجه القصور الموجودة. إن المفهوم الكامن وراء متابعة إطار (7813/1 0050) ليس 
للعثور على أخطاء أو نواقص فحسب» ولكن لتحديد المجالات التي يمكن تحسينها في إطار 
إدارة المخاطر المؤسسية. 


أبعاد أخرى في إطار (151231 ©605): 

كما أوضحنا في بداية هذا الفصل وطبقا لما تم وصفه في الشكل التوضيحي )١-۸(‏ فإن 
إطار (883/1 0050) يكون عبارة عن إطار ثلاي الأبعاد بفئاته الثمانية باعتبارها بعدا 
واحداً في الأقسام التي تمت مناقشتها حالا. والبعدان الآخران عبارة عن فئات الأهداف 
الأربعة له ممثلة بأعمدتها العمودية» وكيانها هو وحداتها الموضحة في البعد الثالث. وعلى 
الرغم من أن فئات إدارة المخاطر المؤسسية الثمانية التي تم وصفها حالاً مهمة جدا لفهم 
إطار (15:814 ©0605) واستخدامه» فإن هذين البعدين الآخرين للإستراتيجيات والوحدات 
التنظيمية هامان أيضا. ولفهم المخاطر المحيظة بالأهدأف التنظيميةء يجب على ال مرء تقييم 
تلك المخاطر من حيث رها مخاوف الإبلاع المرتبطة بهذه المخاطر والوحدة التنظيمية 
المعنية التي تصبح التركيز الرئيسي للمخاطر. 

إن إطار (1581834 ©2005) يلزم استيعابه من خلال كل الأبعاد الثلاثة الخاصة بإطار إدارة 
المخاطر المؤسسية:ء كما أن العملية الفعالة لإدارة المخاطرء مهما كانت مصممة بشكل جيد 
ويتم تشغيلها بصورة جيدةء فهي توفر فقط الضمان ال معقول - لكنه ليس المرغوب - الذي 
تحقق به المؤسسة أهدافها المتعلقة بالمخاطر في إطار الفلسفة الإدارية والرغبة في المخاطرة 
التي تم وضعها. ومع ذلك فلا يهم إن كانت إدارة المخاطر المؤسسية قد تم تصميمها 
وإدارتها بشكل جيد, إذ يمكن أن توجد إخفاقات ناتجة عن أخطاء بشرية أو أحداث مخاطر 


ناحمة عن أى من أحداث كثيرة غير متوقعة. 


قضايا حوكمة تقنية المعلومات 


"الكتاب الأحمر" لنموذج الحوكمة وإدارة المخاطر والامتثال التابع للمجموعة المفتوحة 
للامتثال والأخلاقيات (6120© ۳٤6‏ 0)»ء وإدارة المخاطرء» وحوكمة تقنة المعلومات: 

تعد المجموعة المفتوحة للامتثال والأخلاقيات (©0©176) منظمة غير ربحية يقودها 
قطاع الصناعة. وهي تعمل على تطوير المعايير وتساعد ال مؤسسات على تحسين عمليات 
الحوكمة وإدارة المخاطر والامتثال الخاصة بها. وبدعم كبير من الصناعة التقنيةء قامت 
مجموعة (0001806) بوضع نموذج قدرة (6180) ونشره» ويسمى ب"الكتاب الأحمر" الصادر 
عن مجموعة (0806) مع معايير حوكمة تقنية المعلومات التي أصبحت معترفا بها بشكل 
متزايد في العديد من المؤسسات في جميع أنحاء العام. 

ومع التركيز على حوكمة تقنية المعلومات. يستعرض هذا القسم الواد الإرشادية لنموذج 
القدرة (6160) الصادر عن مجموعة (0016) (الكتاب الأحمر). وبينما يكون العديد من هذه 
المواد الإرشادية مشابهة جداً لغيرها من المعلومات الإرشادية لنموذج (©61) وإطار إدارة المخاطر 
المؤسسية الموجودة هنا وفي الفصول الأخرىء فإننا نستشعر بأن مجموعة (©00:180) سوف يكون 
لها تأثير كبير في حوكمة تقنية المعلومات وعمليات نموذج (610) في السنوات المقبلة. 

إن استخدام مجموعة (0080) لكلمة "مفتوحة" في اسمها له معنى ما يخص تقنية 
المعلومات. فالنظام المفتوح يتبادل بانتظام التغذية الراجعة مع بيئته الخارجية ليقوم 
على نحو مستمر بتحليل تلك التغذية الراجعة» وضبط الأنظمة الداخلية حسب الحاجة 
لتحقيق أهداف النظام» ومن ثم ينقل المعلومات الضرورية مرة أخرى إلى تلك البيئة. أما 
النظم المغلقة: على عكس النظم المفتوحة: يكون لديها حدود ثابتة يتم من خلالها تبادل 
القليل من المعلومات. فالمنظمات التي لديها حدود مغلقة تصبح غالبا راكدة وغير صحية. 
ومن الأمثلة على الأنظمة المغلقة: البيروقراطيةء والاحتكارات» وأنظمة الركود. إن مصطلح 
"مفتوح" الشائع الاستخدام اليوم في العديد من النظم التقنية الحديثة والمتطورة يعتبر 
مصطلحا مناسبا لنموذج القدرة (©61). 

توجد إرشادات نموذج (68©0) الصادر عن مجموعة (00186) المفتوحة في وثيقة 
تسمى الكتات الأحمر لنموذج القدرةء وتوجد الوششقة الأساسية على موقع 11117.068.018. 
ويعود تاريخها إلى شهر إبريل ٠٠١5‏ في وقت نشرناء وهي متاحة من خلال شبكة الإنترنت» 
ف حن :توجد تس هة معسنة جتاعة للأغضاء اللشتركين. وتتصهمن الطبعة الأساسية وضفا 


دلبل المسئول التنفيذي لحوكمة تقنية المعلومات ياس 


الفصل الثامن 


كاملا لنموذج (©61). لكن النسخة المحسنة ذات التكلفة الإضافية مع القوالب وغيرها من 
الوسائل المساعدة تكون أيضا متاحة. ويرتكز نموذج القدرة هذا حول مفهوم يسمى الأداء 
القائم على مبادئ Performance”‏ eاPrincip»‏ وهو نهج نموذج (6110)) المتكامل الذي 
سوف نناقشه في الأقسام التالية. 

كمايوجد لدی نموذج القدرة (6۸€) الصادر عن مجموعة (20)18)1)) العديد من 
المفاهيم المشابهة تماما لإطار (/78121 6050) وغيرها من مفاهيم نموذج (6120) الأخرى 
التي نوقشت في الفصول الأخرى» وتشمل الأهداف التالية: 

٠‏ تحسين الأهداف العامة لقطاع الأعمال. 

ه تحسين ثقافة المنظمة. 

« زيادة ثقة أصحاب المصلحة. 

ه إعداد المؤسسة وحمابتها. 

٠«‏ هنع المشاكل والكشف عنها والحد منها. 

٠‏ الحث على السلوكيات المرغوب فيها وتحفيزها. 

3 تحسين المسئولية والكفاءة. 


ه تحسين القيمة الاقتصادية والاجتماعية. 


مفهوم الأداء القائم على مبادئ” الخاص بمجموعة (00016) المفتوحة: 

حصلت مجموعة (006186) المفتوحة على علامة تجارية لهذا المصطلح وتستخدم هذا 
المفهوم لوصف الحاجة إلى صياغة الأهداف المالية وغير المالية للمؤسسة لتحقيق جميع الأهداف 
التي ترغب المؤسسة ف تحقيقها أثناء استخدامها لأسلوب فعال وكفء وقادر على الاستجابة 
لدعم الحوكمة وإدارة المخاطر والامتثال. إن المفهوم الأساسي هنا هو أن جميع المؤسسات يجب 
أن تعمل ضمن حدود خارجية وداخلية محددة: فالقوى الخارجية» مثل المتطلبات القانونية 
والتنظيمية» تضع الحدود الخارجية الإلزامية. ويكون الهدف هو الدمج بين مبادئ وأهداف 
نموذج (6120) للساعدة المؤسسة في أن تعمل على تحسين الأداء بشكل أكثر فاعلية. 


VE‏ دليل المسئول التنفيذي لحوكمة تقنية المعلومات 


قضايا حوكمة تقنية المعلومات 


ومن أجل أن تحقق المؤسسة مفهوم الأداء القائم على مبادئ» يجب عليها أن تحدد 
بوضوح رسالتها ورؤيتها وقيمها وتحديد الأهداف التي تسعى إلى تحقيقها. ويجب أن 
تحدد كيف ستحقق هذه الأهداف فى الوقت الذي تقوم به أيضاً معالجة المخاطر والأمور 
الضبابية التي تحتمل الشك وحماية ووضع قيمة مضافة وتحديد فرص جديدة ومحاولة 
البقاء ضمن حدود معينة للسلوك الأخلاقي. ويجب على المؤسسة أن تعمل على جعل 
هذه الخيارات شفافة لأصحاب المصلحة الداخليين والخارجيين وأن تحاول تحقيق كل هذا 
باستخدام نهج متكامل لتحقيق أعلى مستوى .ممكن من الأداء: 

شكل توضيحي (۹-۸) 


نموذج القدرة )6۸٣(‏ الصادر عن مجموعة (0):180) المفتوحة 






6 Culmure & Content 












|. Imorm & Integrate 
بخبر ريدج‎ 








Content‏ هذا Culhure‏ ع 
الثنافة و المحترق 


دليل المسئول التنفيذي لحوكمة تقنية ا لمعلومات Vo‏ 


الفصل الثامن 


ومن أجل تحقيق الأداء القائم على مبادئ لمجموعة )0۳٤6(‏ المفتوحة؛ يجب على كل 
كيان أو وحدة في مؤسسة أن تحدد ما هو "الصواب" بالنسبة لها وبعد ذلك تفعل هذه الأشياء 
المفتوحةء وهو هدف رفيع المستوى يتجاوز المفاهيم التقليدية لتعزيز قيمة أصحاب ال مصلحة 
لتشمل النتائج المرجوة التي تلبي مصالح أصحاب المصلحة لدى المؤسسة واهتماماتهم. 

وتعد مفاهيم الأداء القائم على تلك المبادئ من العناصر الرئيسية لنموذج القدرة 
GRC (‏ ) الصادر عن مجموعة ( C٤6‏ 0) المفتوحة كما هو موضح ٤‏ الشكل التوضيحي 
(9-4). وتصف الأقسام التالية باختصار عناصر هذا النموذج بمزيد من التفصيل» وخاصة 
عندما يكون لديها أهداف وغايات مختلفة عما كانت عليه في الإطار التقليدي لإطار 
ERM)‏ 0050) الذي تم وصفه سابقا في هذا الفصل. ويحدد هذا النموذج مجموعة من 
المواد والمفاهيم على مستوى عال للغايةء وهي تعد جزءا من نموذج مجموعة (0©15:6) 
المفتوحة. وتشجيعا للقارئ المهتم بهذا الأمرء يمكنه الوصول إلى نموذج كامل من خلال 
عنوان الويب الذي آشرنا إليه سابقا. 

إن كل مدخل من مدخلات النموذج الصادر عن مجموعة (0001506) المفتوحة يكون 
مدعوما من العناضر الرئيسية أو الفرعية الخاصة بنموذج (616): فمثلاً حرف ©: مشيراً 
إلى مكون الثقافة والمحتوى يكون مدعوما في وثائق مجموعة (00180) ال مفتوحة من خلال 

(External Business Context) سباق الأعمال الخارجية‎ 1 

(Internal Business Context) سياق الأعمال الداخلية‎ 2 

(Culture) الثقافة‎ C3 

(Values and Objectives) القيم والأهداف‎ 4 

وبعد ذلك يتم تقليل رتبة كل عنصر من عناصر نموذج القدرة (110) إلى عناصر فرعية 
لكل منها. فعلى سبيل المثال: بالنسبة للعنصر 3©. الذي يشير إلى الثقافةء يحتوي النموذج 
على العناصر الفرعية التالية: 


۳۷٦‏ دليل المسئول التنفيذي لحوكمة تقنية المعلومات 


قضايا حوكمة تقنية المعلومات 


(Analyze Ethical Culture) تحليل الثقافة الأخلاقية‎ 1 

(Analyze Ethical Leadership) تحليل القيادة الأخلاقية‎ 2 

(Analyze Risk Culture) تحليل ثقافة المخاطر‎ 3 

4 تحليل إشراك مجلس الإدارة (Analyze Board Involvement)‏ 

Analyze Governance Culture and) تتحليل ثقافة الحوكمة وأسلوب الإدارة‎ 5 
(Management Style 

6 تحلىل مشاركة القوى العاملة (Analyze Workforce Engagement)‏ 
القائة. وبالإضافة إلى ذلك فإن النموذج يحتوي على مجموعة من المبادئ وقائمة بمصادر 
الفشل الشائعة لكل مبداً من هذه المبادئ» فضلا عن توجيهات ومراجع لمواد دعم إضافية. 

ومكن إيجاد أهداف تفصيلية مماثلة لكل من العناصر والعناصر الفرعية للشكل 
موجود في المركز العلوي يحتوي على عنصر يسمى 02. ويشرر إلى الأدوار والمسئوليات» 
مع عنصر فرعي 02.4.: ويشير إلى تحديد القواعد التشغيلية لنظام (6110©) وتمكينها من 
العمل. وتوجد توصيفات العناصر والعناصر الفرعية تلك في جميع أنحاء النموذج. فعلى 
سبيل ال مثال» يبين الشكل التوضيحي )٠١-8(‏ أنشطة 02.4.01. 

شكل توضيحي (۱۰-۸) 

مثال على الممارسات الفرعية لنموذج 02.4 :6120© تحديد وتمكين القواعد التشغيلية لنظام ©618. 

1 تحديد الأدوار وا مسئوليات لأنشطة نموذج (6140) الأساسية التالية: 

٠.‏ امنهجية والسياسة والاإحراءات وامعايير واطفردات والصيانه 

٠‏ تحددد اللخاطر والمتطلبات والتحليل والتحسين 


دليل المسئول التنفيذي لحوكمة تقنية المعلومات VV‏ 


الفصل الثامن 


« تنفيذ المبادرة / إدارة محفظة المشروعات 
٠‏ علاقات أصحاب المصلحة 

ه خط المساعدة أو الخط الساخن 

٠‏ الاستقصاء والحلول 

« قياس الأداء 

ه الاتضالاث متضمنة العلاقات العامة 


ه التقننة 


إن هدفنا هنا ليس وصف كل عنصر وعنصر فرعي من هذه العناصر والأنشطة الخاصة 
بمجموعة (0086) المفتوحة بالتفصيلء لكن هدفنا هو وصف الفاهيم العامة وراء 
نموذج مجموعة (00186) المفتوحة. ويمكن للقارئ أن يصل إلى نموذج شامل من خلال 
موفع ويب 1119719,068.018. 


بهذا الملخص أو التوضيح للنقاط الفرعية والنقاط المتفرعة منهاء يوجد لدينا تفاصيل 
كافية هنا لمساعدة المؤسسة على إنشاء وتنظيم إدارة للحوكمة وإدارة ا مخاطر والامتثال 
(6180). كما توجد مجموعات جيدة من المبادئ والمصادر المشتركة للإرشادات للمساعدة 
في تكوين عملية فعالة خاصة بنموذج )G۸٥(‏ داخل المؤسسة. وقد لخص هذا القسم 
والأقسام السابقة عناصر نموذج القدرة 6۸٥(‏ ©0178 0) على مستوى عال للغايةء بعضها 
مشابه تماماً لغمليات ماذج (©68) و(18831 0080) التي تمت مناقشتها ف فضول 
أخرى. في حين يدعو البعض الآخر لاتباع نهج أكثر تفصيلا وفي بعض الأحيان إلى نهج موجه 
بدرجة أكبر نحو نظم رقابة إدارية. لكننا مع ذلك نحتفظ بوصف عالي المستوى لا ينصف 
الدراسة الكاملة التي يمكن العثور عليها في منشور مكون من ٠٠١‏ صفحة في شكله الأساسي 
وبقدر أكبر من التفصيل في وثيقة مطولة. مما يشجع القارئ المهتم إلى القيام بمزيد من 
البحث في نموذج (610© .)0©CEG‏ 


PVA‏ دليل المسئول التنفيذي لحوكمة تقنية ا معلومات 


قضايا حوكمة تقنية المعلومات 


مستوى هيئة وضع معايير مجموعة (20080) المفتوحة ونطاقها: 

ليس لدى مجموعة (001586) المفتوحة في الوقت الحاضر هيئة لوضع المعايير الخاصة 
بحوكمة تقنية المعلومات كما هو موجود مع هيئات (2048018) أو (150). وبالإضافة إلى 
ذلك» وعلى الرغم من أنها أصدرت بعض المواد الإرشادية القوية» فإن تلك المعلومات ما تزال 
مفتقرة إلى مستوى اعتراف كال موجود من خلال ال معابيير المهنية مثل تلك الصادرة عن معهد 
المدققين الداخليين (114) أو (15408). ومع ذلكء فإننا نرى أن أهمية مجموعة (001:06) 
المفتوحة وموادها الإرشادية سيزداد في السنوات القادمة وسوف تنمو الاهتمامات والحاجة 
لعمليات فعالة لنموذج (6180). 


وتكمن إحدى نقاط القوة الرئيسية لمجموعة (0015:06) المفتوحة في أنها منظمة 
تطوعية تماماً يقوم على إدارتها موظفون جاؤوا على سبيل الإعارة من المنظمات الراعية, 
وقد شكلوا مجلس قبادة بلجموعة (001806) اللمفتوحة. يشمل الرعاة هنا الشركات 
المحاسيية العامة الكبرى مثل برايس ووترهاوس كوبرز )۴W€(‏ وجرانت ثورنتون (6۲۵۸۲ 
6 ببالإضافة إلى أن هناك العديد من الرعاة من الجهات الرائدة في صناعة تقنية 
المعلومات الكبرى مثل أوراكل (13-16©) وساب (5S4۴)ء‏ ويا في المقام الأول رعاة الصناعة 
في الولايات المتحدة مثل شركة التأمين الكبرى عون (401) ومتاجر التجزئة وول مارت 
(0ص|Wa).‏ وإذا كان هة قلق هناء فإنه قد يعزى إلى أن مجموعة (0061:6) المفتوحة 
هي منظمة أمريكية من الأساس وليست منظمة دولية في الحقيقة: لأنها معتمدة على 
أعضاء المنظمات وأعضاء اللجان الراعية لها. وفي عاطنا المعاصرء إننا بحاجة إلى المزيد من 
الاهتمام الدولي. 


وقد يرغب أحد كبار المديرين المهتمين في استخدام مواد مجموعة (0©01:6) المفتوحة 
هذه على أنها أحد المصادر المرجعية الإضافيةء إذ إنها مجموعة واسعة من المواد التى يمكننا 
فقط توقع زيادة أهميتها في السنوات المقبلة. 


دلبل المسئول التنفيذي لحوكمة تقنية ا لمعلومات ۳۷۹ 


الفصل الثامن 
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دليل المسئول التنفيذي لحوكمة تقنية المعلومات 


الجزء التالث 
أدوات وتقنيات إدارة البنية التحتبة لحو كمة تقنية المعلومات 


TAY 


الفصل التاسع 
حوسبة سحابية وافتراضية وحوسبة محمولة متنقلة 


عام نظم تقنية المعلومات مليء دائماً بالمفاهيم والتقنيات الجديدة المتظورة باستمرار. 
فبعضها يعد من المفاهيم والتحولات الخاصة بتقنية المعلومات والتي سرعان ما أصبحت 
ممارسات شائعة ومقبولة. وممكن اعتبار لغة برمجة الإنترنت الجافا أحد الأمثلة على تلك 
التقنية الحديثة. فقد أصبحت التطبيقات التي تستخدم الجافا بمثابة الوسيلة التي تسمح 
بالاتصال بين مواقع الإنترنت المركزية والأنظمة الفرديةء كما أصبحت الجافا معياراً لتطوير 
الإنترنت (شبكة المعلومات العالمية). من ناحية أخرىء فإنه فضلاً عن أن هناك العديد من 
التقنيات الحديثة التي لاقت في بداياتها ا مزيد من الاستحسان والدعم والدعاية والترويج 
في العديد من المطبوعات المتنوعة الخاصة بتقنية المعلومات؛ فإنها لم تحتل مكانة عالية 
في السوق وسرعان ما تم نسيانها. وفي النهاية. فإن هذه التقنيات "م تكن تلك الصفقة 
الكبيرة". وذلك عندما تم تجاهلها وإهمالها من قبل مستخدمي تقنية المعلومات والسوق 
التقني أو أن المنافسين قد جاؤوا بعروض أفضل. 

لقد كان لدينا بعض التقنيات الحديثة منذ مدة طويلة: وف الواقع تعد هذه التقنيات 
حديثة فقط عندما تقارن بالنظم والعمليات التقليدية لتقنية المعلومات. وقد أسهمت 
هذه التقنيات في تغيير الطريقة التي نفكر بها في بناء وإدارة نظم تقنية المعلومات 
والعمليات الداعمة لها. وسوف يقوم هذا الفصل بتسليط الضوء على ثلاث من هذه 
التقنيات الحديثة التي أصبحت شائعة بشكل متزايد في عمليات تشغيل تقنية المعلومات 
ف الوقت الراهنء فيما ستطرح أيضا كل تقنية من هذه التقنيات بعض القضايا الخاصة 
وة قلاات 

في البداية سنتحدث عما أصبح يعرف بالحوسية السحابية Cloud Computing‏ 
وهو المفهوم المرتبط باستخدامنا للإنترنت وشبكة الويب العالمية منذ أواخر التسعينيات 
من القرن الماضي. يستخدم المهنيون هذه الأيام إحدى أدوات البحث عبر الإنترنت كجوجل 
مثلا للبحث عن إجابات لأسئلة أو لجمع المزيد من المعلومات عن موضوع ما. وبينما ينتج 


دلبل المسئول التنفيذي لحوكمة تقنية المعلومات YAY‏ 


الفصل التاسع 


وبشكل فوري عن أحد طلبات البحث التقليدية مدى واسع من "ضربات" أو نتائج البحث 
لهذا الطلبء فإننا في الواقع لا نفكر كثيراً بالطريقة التي من خلالها استطعنا الحصول على 
كل تلك النتائج الهائلة وبتلك السرعة الهائلة. فجميع هذه النتائج تأت من شبكة الإنترنت» 
سواء كانت من بلادنا أو من العام الخارجي. ونظرا لأننا لا نستطيع الإشارة إلى نظام أو 
مصدر محدد على أنه هو المزود للمعلومات الخاصة باستعلامنا عبر شبكة الإنترنت» فإننا 
نتصور أن تلك المصادر الخاصة بالإنترنت كما لو كانت عبارة عن شبكة اتصالات مترابطة 
وواسعة» تكون غالبا "سحابة" من المصادر. 

تتجاوز مصادر تقنية المعلومات» مجرد كونها محركات للبحث» والتي يتم عرضها بشكل 
متزايد من خلال سحابة الإنترنت تلك. وسواء كانت تلك السحابة عبارة عن مرفق خدمي 
محلي أو عاي أو حتى كانت عبارة عن مركز لإحدى المؤسسات الكبيرة» فنحن نستخدم 
الحوسبة السحابية بشكل متزايد لبناء وإدارة نظم تقنية المعلومات الخاصة بنا. وسيناقش 
هذا الفصل بعض القضايا الخاصة بحوكمة تقنية المعلومات والتي تثار عندما نستخدم تلك 
السحابة لنظم وعمليات تقنية المعلومات. 

ستكون الافتراضية 111111311221101 وقضايا حوكمة تقنية ال معلومات الخاصة بها هي 
التقنية الثانية التي سيتم مناقشتها في هذا الفصل. فعلى الرغم من أن لها أصولاً تعود إلى 
النماذج السابقة الخاصة بنظم الحاسبات المركزية التي تم إنتاجها من قبّل شركة آي بي إم 
1 منذ سنوات عديدة» فإن الافتراضية هي المفهوم الذي كان مجهولا بالنسبة لمعظم 
المهنيين العاملين فى مجال تقنية ا معلومات حتى فترة زمنية ليست بالبعيدة. فهي تعود 
للوقت الذي انتقلنا فيه للمرة الأولى من نظام تقنية تقنيه معلومات يعتمد على حاسب مركزي 
واحد إلى العديد من نظم الخادم المتصلة في تقنية المعلومات والتي احتوت في البداية 
على عدد قليل من هذه النظم ثم زادت بعد ذلك. ف البداية كانت عملية توصيل كل 
نظام خادم مجموعة من وحدات التخزين والمرفقات الأخرى تعتير من العمليات السهلة: 
إلا أن النظم اضهت اکر تعقيدا مع نمو إعدادات نظم تقنية المعلومات. هذا بالإضافة 
إلى أن إدارة عمليات التشغيل الخاصة بتقنية المعلومات قد أدركت ا أن إعداداتها 
الخاصة با موارد المتصلة والملحقة بالخادم م تكن متوازنة بشكل جيد. فعلى سبيل المثال» 
قد يكون للخادم () إمكانيات كبيرة للذاكرة المؤقتة أو وحدات التخزين الملحقة ولكنه 
6 020202020202020 ليل المسئول التنفيذي لحوكمة تقنية المعلومات 


حوسبة سحابية وافتراضية وحوسبة محمولة متنقلة 


ربما لا يستخدم كل هذه الموارد على أنها جزء من عمليات التشغيل المجدولة أو الاعتيادية 
التي تتم على هذا الخادم (أ). في حين قد يكون هناك خادم آخر (ب) به قصور في الموارد 
ويحتاج إلى بعض الوارد الزائدة عن حاجة الخادم )١(‏ لتساعده خلال فترة احمال الحوسبة 
المرتفعة. 


خلال الأيام الأولى للحوسبة الخاصة بنظم "عميل - خادم"» كان يتم ربط تلك الموارد 
بكل خادم على حدة إما من خلال تعليمات برمجية محددة أو حتى من خلال توصيلات 
كوابل مادية. ومن ثم فإن عمل تغييرات كنقل بعض الوارد غير المستخدمة من الخادم (آ) 
إلى الخادم (ب) ليساعده في إنجاز مهامه كانت تستهلك وقتا طويلا وفي بعض الأحيان كانت 
مهمة معقدة. وقد تم حل تلك المشكلة الخاصة باتصال الخوادم بموارد تقنية المعلومات 
وتحقيق ما يعرف بتوازن الأحمال بين الخوادم عن طريق بعض بائعي نظم إدارة التخزين 
ابتداءً من العام ٠٠٠١‏ تقريبا بواسطة ما يعرف الآن بالنظم الافتراضية. 

ففي البيئة الافتراضيةء لا تتصل موارد النظام ببعضها البعض بشكل حقيقي أو مادي 
ولكنها ترتبط بشكل منطقي بواسطة أدوات برمجية خاصة. وبناءً على الطلب على موارد 
النظم» فإنه يمكن للنظم المنفصلة أن تتصل بشكل افتراضي مع موارد أخرى بشكل آلي أو 
تلقائيء بدلا من استخدام الكوابل المادية اليدوية أو الروابط البرمجية التي كانت تستخدم 
في السابق. حيث تستطيع البيئة الافتراضية تقديم قدرات كبيرة للإعدادات الضخمة لتقنية 
المعلومات. من ناحية أخرىء إذا كانت عمليات النظم الافتراضية غير مفهمومة أو مطبقة 
أو مدارة بالشكل المناسب» فإنها قد تثير بعض القضايا المتعلقة بحوكمة تقنية المعلومات. 
سيقدم هذا الفصل المفاهيم الخاصة بالبيئة الافتراضية لتقنية ا لمعلومات كما يناقش بعض 
القضايا الرئيسية للحوكمة ذات الصلة بهذا الموضوع. 

وسيختتم هذا الفصل بالحديث عن قضايا حوكمة تقنية المعلومات المتعلقة بأجهزة 
الحوسبة المحمولة الشخصية الواسعة الانتشار والتي لا تستخدم فقط للاغراض الشخصية 
وإنما تستخدم أيضا على أنها مكونات لنظم تقنية المعلومات المؤسسية. تعتبر أجهزة 
الحواسيب اللوحية الصغيرة أو الهواتف الذكية مثابة أدوات رائعة للاتصالات والوصول 
إلى الإنترنت والتقاط الصور الفوتوغرافية والعديد من المهام الأخرى. فعلى الرغم من 


دلبل المسئول التنفيذي لحوكمة تقنية المعلومات FAO‏ 


الفصل التاسع 


إطلاقها على أنها أجهزة شخصية: فإنها تسببت في نجاحات كبرى ف أماكن العمل. وسَيحْتَم 
هذا الفصل بمناقشة قضايا حوكمة تقنية المعلومات المتعلقة باستخدام أجهزة الحاسبات 


التعرف على الحوسبة السحاسة: 

كان لدى مديري الأعمال القدامىء» الذين نشؤوا في عصر الورق والقلم الرصاص» ولسنوات» 
اعتقاد بآن بعض أعضاء فرق نظم وتطوير تقنية المعلومات العاملين لديهم لهم "مديرون 
في الحُب". في حين أن ما يعرف بالحوسبة السحابية يعد من المفاهيم الحديثة والمتطورة 
وامهمة بالنسبة للعديد من عمليات تشغيل تقنية المعلومات. وهو وثيق الصلة بالمفاهيم 
الخاصة بالبنية الموجهة نحو الخدمات 504 )Service-Oriented Architecture)‏ والتي 
نوقشت ف الفصل الثالث عشر من هذا الكتاب» لقد أسهمت الحوسبة السحابية في تغيير 
الأسلوب المتبع من قبل العديد من المؤسسات في بناء واستخدام تطبيقات تقنية المعلومات. 


يُستخدم مضطلح السحابة غالبا هنا وف الخديد من ال مراجع المنشورة على أنه تعبير 
مجازي للدلالة على الإنترنت. إن الفكرة التي تكمن خلف سحابة الإنترنت تلك هي أن 
المستخدمين ليسوا بحاجة إلى (معرفة ب أو خبرة عن» أو سيطرة على) البنية التحتية للتقنية 
"في السُحُب" التي تدعم التطبيقات القائمة على الإنترنت. وقد تم استحداث هذا المصطلح 
في مجال صناعة الهواتف» حيث ظل قائماً حتى تسعينيات القرن الماضيء فالبيانات وحتى 
الدوائر البدائية لشبكة الإنترنت بين الأماكن قد تم ربطها من خلال الأسلاك. ثم بدأت بعد 
ذلك شركات الهواتف البعيدة المدى بتقديم خدمات الشبكة ال محلية الافتراضية اللاسلكية 
لنقل البيانات. وقد أسهم نمو تلك الشبكات اللاسلكية والإنترنت وشبكة الويب العامية في 
تطوير الطريقة التي نفكر فيها بخدمات تقنية المعلومات هذه الأيام. 

إن الحوسبة السحابيةء على كل حالء تعد أكثر من مجرد شبكة إنترنت» فهي الطريقة 
التي نستخدمها نحن للتفكير بالخدمات التي تقدمها التطبيقات التي تسكن شبكة 
الإنترنت. ولأنه من ال مستحيل أن يكون هناك تحديد مسبق لمسارات حركة الإنترنت بشكل 
دقيق» فقد تم استخدام مصطلح السحابة ليدل مجازا على المرافق الخاصة بخدمات تقنية 
المعلومات والتي تعد أحد مسئوليات مقدمي الخدمات» إضافة إلى البنية التحتية للشبكة. 


۲A٦‏ دليل المسئول التنفيذي لحوكمة تقنية امعلومات 


حوسبة سحابية وافتراضية وحوسبة محمولة متنقلة 


وسرعان ما تبع ذلك كل من مفاهيم المنتجات البرمجية أو الخدمات عبر الإنترنت أو مفهوم 


يقوم بائعو البرمجيات عادة بعرض المنتجات البرمجية الخاصة بهم على شكل خدمات 
على الإنترنت بدلا من أن تكون على شكل تطبيقات تسكن خوادم العملاء الشخصية. وخير 
مثال هنا - أحد رواد مثل هذا النوع من المنتجات - هو مورد البرمجيات الخاصة بإدارة 
علاقات العملاء سيلزفورس (م5[.قاءع1:00101م حتت /ترمء.عع:1ه1و1196.5216) „(SalesForce)‏ 
فهذا المورد للأدوات البرمجية الخاصة بتتبع العملاء والمبيعات لا يقوم ببيع منتجاته كمجموعة 
من البرامج المحملة على الأقراص المدمجة 0105 ليقوم العميل باستخدامها. لكنه يقوم بعرض 
جميع البرامج والوثائق الخاصة بشركة 521651016 على شبكة الإنترنت» حيث يقوم العملاء 
بدفع المال مقابل المنتجات البرمجية فقط عندما يستخدمونها. حيث تستخدم تطبيقات شركة 
© على شكل خدفات مقدمة للعملاء. 


يوضح الشكل التوضيحي )١-1(‏ هذا المفهوم الخاص بالحوسبة السحابية. وقد قمنا 
بتسليط الضوء على مقدمي الخدمات الذين يقومون بعرض منتجات خاصة بالحوسبة 
السحابية هذه الأيام مثل شركة أمازون 41182011 وشركة جوجل 600816 وشركة 
مايكروسوفت 111105016 وشركة سيلز فورس 53165101566 كذلك. وما هذه إلا عينة 
بسيطة عن بعض التطبيقات الحالية» وبالتأكيد هناك ما هو أكثر بكثير. وفيما يلي بعض 
فوائد التطبيقات التي تعمل في بيئة الحوسبة السحابية: 
- خفض تكاليف البنية التحتية نتيجة المركزية: مع وجود تطبيقات تقنية المعلومات على 
البيئة السحابية: لم يعد هناك حاجة للحفاظ على المستوى نفسه من العمليات الخاصة 
بإدارة التغييرات البرمجية وغيرها من الضوابط المتعلقة بتلك التطبيقات الموجودة ف 
البيئة السحابية. قد يكون لهذا الأمر إلى حد ما جانب إيجابي وآخر سلبي بالنسبة للبعض 
نظرا لأنك تحصل فقط على السمات والأشكال التي يسمح بها التطبيق. 
- ارتفاع سقف سعات الأحمال: ممتلك مقدمو الخدمات السحابية كشركة أمازون أو جوجل 
مزارع خوادم ضخمة جدا لنظم تقنية المعلومات وبقدرات تخزينية هائلة. حيث تبدو 
سعات الأحمال التشغيلية لحواسيبهم وكأنها رتا لا محدودة. 


دلبل المسئول التنفيذي لحوكمة تقنية المعلومات لام 


الفصل التاسع 


- متابعة الأداء المناسب للنظم من قبل مقدم الخدمة: يستطيع مقدمو الخدمات السحابية 
أن يقوموا بمراقبة جميع خدمات تقنية ا معلومات المقدمة من مزود البيئة السحابية 
وكذلك مراقبة المستخدمين المهمين. ونتيجة لذلك يجب أن يكون لدى مقدم الخدمة 
أدوات رقابية معمول بها لتقديم تغييرات التحسين الخاصة بالعملية بالشكل المطلوب. 

- مرونة التطبيقات وخدمات تقنية المعلومات: لقد قام مقدمي خدمات البيئة السحابية 
بعمل نسخ طبق الأصل للحلول -وهو ما يعرف باسم (المرآوية) 12120118 - التي يمكن 
أن تستخدم في حالات الكوارث أو في توازن الأحمال عند ازدحام البيانات. فسواء كانت 
هناك كارثة طبيعية تستلزم الحاجة لموقع آخر في منطقة جغرافية مختلفةء أو كان هناك 
ازدحام شديد للبيانات» إذ يكون مقدمو خدمات البيئة السحابية عادة على استعداد 
لتقديم الحلول المناسبة. 


شكل توضيحي )١-5(‏ 
مفاهيم الحوسبة السحابية 





ممم ديل المسثول التنفيذي لحوكمة تقنية المعلومات 


حوسبة سحابية وافتراضية وحوسبة محمولة متنقلة 


إن مديري الشركات الذين يقومون بتطبيق حوكمة تقنية ا معلومات بحاجة إلى اتباع 
نهج مختلف فى مراجعة الضوابط الداخلية المتعلقة بتطبيقات البنية الموجهة نحو الخدمات 
04 بالإضافة إلى فهم الأمور الخاصة بأمن تقنية المعلومات في بيئة الحوسبة السحابية. 
لقد أصبحت خدمات شبكة الويب وغيرها من خدمات البنية التحتية تقَدّم وبشكل متزايد 
في البيئة السحابية: الأمر الذي يستدعي إعادة التفكير ببعض الاعتبارات الخاصة بعمليات 
التدقيق والرقابة. 


مراجعة الضوابط الخاصة بتطسقات الحوسية السحاسة: 

كون التطبيق يعمل انطلاقاً من بيئة البنية الموجهة نحو الخدمات 504 - فهذا لا يعني 
أبدا أن الحاجة إلى تقييم وفهم الضوابط الداخلية الخاصة بهذا التطبيق لم تعد موجودة. 
بل يجب أن يستمر التطبيق القائم على البنية اللوجهة نحو الخدمات في مسارات التدقيق 
وإجراءات فحص الأخطاء نفسها وغيرها من الممارسات الجيدة التي يمكن أن نجدها في 
أي تطبيق تقنية معلومات محكم الرقابة. في الغالب يمكننا توقع أن تطبيق الأعمال الذي 
يعمل تحت رعاية إحدى الشركات الكبرى التي تقدم الخدمات السحابية مثل جوجلء الذي 
يستخدم غالبا من قبل عدد كبير من العملاء في جميع أنحاء العالم. لديه ضوابط داخلية 
ملائمة. : 

تمثل الحوسبة السحابية تغييرا جوهرياً في الطريقة التي تعمل وتدار بها التطبيقات. 
وبينما لا يوجد سوى عدد محدود من الباعه الذين يقومون اليوم بتقديم التطبيقات 
البرمجية القائمة على الخدمات» فإن هذا الرقم من مقدمي الخدمة مرشح للزيادة. هناك 
مستوى ضمني من الثقة في تلك الخدمات المقدمة من قبل العديد من مزودي الخدمة 
تحت مظلة سحب الإنترنت تلكء إلا أن قادة إدارة الأعمال وتقنية المعلومات لتلك الخدمات 
إلى جانب مدققي تقنية المعلومات يجب أن يحصلوا على ضمانات بأن هذه التطبيقات 
القائمة على السحابة تتم مراقبتها بشكل جيد. كما يجب على جميع المستخدمين المباشرين 
وغير المباشرين للحوسبة السحابية تطوير مستوى قوي من الثقة في الخدمات البرمجية 
والبنية التحتية التي تشكل السحابة الخاصة بالمؤسسة. يجب أن يلتقي المسئول التنفيذي. 


ع نيا 


الذي يحدد ما إذا كان قسم تقنية ا معلومات لديه سيقوم بتبنى إستراتيجية الحوسبة 


دليل المسئول التنفيذي لحوكمة تقنية ا معلومات A3‏ 


الفصل التاسع 


السحابية فيما يخص بعض تطبيقاته في المؤسسة:» مع إدارة تقنية ا معلومات لفهم مثل هذه 
المبادرات. وفيما يلي بعض القضايا الأساسية فيما يخص حوكمة وضمان تقنية المعلومات 
في الحوسبة السحابية: 
- الشفافية 'إ1521350216: يجب على مقدمي الخدمات السحابية أن يكونوا قادرين 
على إثبات وجود ضوابط أمنية فعالة وقوية. تضمن للعملاء بآن معلوماتهم مؤمنة على 
نحو جيد ضد أي عملية وصول غير مصرح بهاء أو تغيير. أو تخريب. فالأسئلة الرئيسية 
التي توجه لأي مقدم خدمات يعرض التطبيقات السحابية هي: 
- ما نوعية الموظفين العاملين لدى مقدمى خدمات البيئة السحابية الذين يستطيعون 
الوصول يلعلومات أي عميل؟ 
- هل يتم الحفاظ على الفصل بين مهام موظفي مقدمي الخدمات السحابية؟ 
- كيف يتم الفصل بين الملفات والبيانات الخاصة با معلومات المختلفة للعملاء؟ 
- ما الضوابط الموضوعة بنع أي خروقات أمنية ورقابية في السحابة والكشف عنها والرد عليها؟ 
2 الخصوصية :Privacy‏ يحب ان مقدمي خدمات الحوسسة السحابية إعطاء ضمانات 
بأن ضوابط الخصوصية الملستخدمة ستمنع الخروقات الأمنية وتكشف عنها وترد عليها في 
الوقت المناسب» وبأن لديها خطوط اتصالات قوية ويتم فحصها بشكل دوري. 
- الامتثال ©112116م012): لي يتم الامتثال لمختلف القوانين واللوائح وا معايير ا معمول 
بهاء فقد تكون هناك مخاوف متعلقة بالحوسبة السحابية من حيث أن البيانات قد لا 
تحفظ في مكان واحد بل ربما لا يكون من السهل استرجاعها. فمن المهم جدا ضمان أنه 
عند طلب البيانات من قبل أصحابهاء فإنه هكن تقدمها دون المساس بالبيانات الأخرى. 
عند استخدام الخدمات السحابية. يجب أن تكون هناك ضمانات بأن المؤسسة تستطيع 
الحصول على بياناتها عندما تحتاجها. أو أن الجهة المقدمة للخدمة قد تطالب بحقها في 
حجب البيانات عن السلطات. 
- تدفق البيانات عبر الحدود: مع وجود احتمالية تخزين ال معلومات السحابيه ق اي 
مكان داخل السحابةء فقد يكون معرفة الموقع الجغرافي للمعلومات من إحدى القضايا أو 


۳4 دليل المسئول التنفيذي لحوكمة تقنية المعلومات 


حوسبة سحابية وافتراضية وحوسبة محمولة متنقلة 


المشاكل. فا موقع الجغرافي للبيانات هو الذي يفرض الالتزام القانوني والقضائي للفصل في 
الدعاوى. ولا يزال هناك العديد من المسائل القانونية التي لم تحل بعد في هذا المجال. 
- الاعتماد: يجب أن يزود مقدمو خدمات الحوسبة السحابية عملاءهم بالضمانات الكافية 
على أنهم يقومون بعمل الأشياء "الصحيحة". لذلك: يجب أن نرى في المستقبل عمليات 
تدقيق مستلقة يقوم بها طرف ثالث و/أو تقارير عن الخدمة لأحد المدققين والتي ستصبح 
جزءا حيويا لأى برنامج ضمان بخص مقدم خدمات الحوسبة السحابية. وستتبع هذه 
التقارير المعيار الصادر عن المعهد الأمريكي للمحاسبين القانونيين 41024 وا معروف 
باسم معيار التدقيق رقم ۷٠‏ "" (70 545) الذي سيصبح أكثر أهمية في السنوات القادمة. 
إن وجود المعابير القوية والفعالة من شأنه أن يساعد المؤسسات على كسب المزيد 
من الضمانات المتعلقة بالضوابط الداخلية وقضايا أمن تقنية ا معلومات الخاصة بمقدمي 
خدمات الحوسبة السحابية. على كل حال فإنه حتى وقت نشر هذا الكتاب لم يكن هناك 
وق ظل عدم وجود مجموعة محددة أو معرفة طمثل تلك المعاييرء فإنه يجب على المدير 
الأول أو مدقق تقنية المعلومات الذي يقوم بمراجعة التطبيقات المقدمة من قبل مزود 
خدمات الحوسبة السحابية أن يطلب من مزود الخدمة تقديم ضمانات كافية في ثلاث 

مجالات رئيسية على الأقل هي: 

-١‏ الأحداث 25 يجبا أن يقوم مزود الخدمة وبشكل منتظم بتوثيق < جميع التغيرات» 
والإبلاغ عنها وعن غيرها من العوامل الأخرى التي تؤثر في إتاحة نظام | البنية الموجهة 
نحو الخدمات 503., 

۲- سجلات 1.085: يجب أن يقوم مزود الخدمة بتقديم معلومات شاملة عن تطبيق البنية 
الموجهة نحو الخدمات 504 الخاص بال مؤسسة وعن بيئة التشغيل الخاصة به. 

- الراقبة 2102140118: أي عملية رقابية من هذا النوع لا يجب أن تكون تطفلية ويجب 
أن تكون مقتصرة فقط على الاحتياجات المنطقية الخاصة بمقدم الخدمة السحابية لكي 
يقوم ندند بتشسا . مرافقه. 


دلبل المسئول التنفيذي لحوكمة تقنية ا لمعلومات وم 


الفصل التاسع 


تتيح الحوسبة السحابية بعضا من الفرص الجديدة والهامة من أجل إعادة النظر فيما 
يتعلق بأمن وضوابط تقنية المعلومات من أجل غد أفضلء ولا بد أن ينبح ذلك قريباً معابير 
ذات طابع أكثر رسمية في ما يخص الحوسبة السحابية. ونستطيع أن نتوقع مشاهدة ما هو 
أكثر من ذلك بكثير في المستقبل نظرا لأن التطبيقات السحابية والحوسبة السحابية لمزودي 
الخدمات في تمو ونضوج مستمر. 


تحديات الأمن والخصوصية في بيئة الحوسبة السحابية: 

إن استخدام التطبيقات التي تعمل في بيئة الحوسبة السحابية قد عمل على نقل 
مجموعة كبيرة من التحديات والمسؤوليات من إدارة تقنية المعلومات الخاضة بام مؤسسة 
بشكل أساسي إلى البيئة التي قد فرضت فيها بعض المسؤوليات من قبل مقدم خدمة 
الحوسبة السحابيةء في حين لا يزال البعض الآخر منها من مهام إدارة تقنية المعلومات 
الخاصة بالمؤسسة. وهذا هو التحدي بالنسبة لإدارة تقنية المعلومات والمدققين الداخليين 
التابعين لها على حد سواءء والذين يجب عليهم فهم ومعرفة مكونات أمن المعلومات 
والخصوصية التي تخص مقدمي خدمات الحوسبة السحابية الذين اختاروهم بأنفسهم. 

لا تزال الحوسبه السحابيه عبارة عن توجه جديد ومتطور. فعلى الرغم من العدد 
المتزايد لمزودي الخدمات الذين يقومون بتقديم خدمات استضافة التطبيقات السحابية؛ 
وعلى الرغم أيضا من وجود مزودي خدمات مثل شركة جوجل وشركة أمازون الذين يقومون 
ببناء بيئات ضخمة ومعقدة ومتعددة الخوادم للحوسبة السحابية: إلا أنه لا يوجد هناك 
مجموعة محددة لأفضل الممارسات المتفق عليها بين مختلف هؤلاء المزودين للخدمات 
السحابية. في بعض الأحيان نرى أن هذا التوجه الموجود اليوم لدى المؤسسات لتحويل 
بعض موارد تقنية المعلومات الخاصة بها إلى مقدمي خدمات الحوسبة السحابية؛ ولو 
بطريقة رها تكون غريبة بعض الشيء» يشبه في بعض عناصره عملية الانتقال إلى ما كان 
يعرف باسم مكاتب خدمات تقنية المعلومات والتي ظهرت في أوائل الثمانينيات من القرن 
الماضي والتي أصبحت الآن من مفاهيم الماضي. 

قررت العديد من المؤسسات في منتصف وحتى نهاية سبعينيات القرن الماضي أنها 
بحاجة إلى الانتقال من عمليات وحدة سجلات البطاقات المثقبة إلى أحد نظم الحواسيب 


حوسبة سحابية وافتراضية وحوسبة محمولة متنقلة 


المركزية 113111113176 المتطورة. لذا فقد تم إضافة الكثير من الكوادر البرمجية المطورّة 
للنظم والنظم الحاسوبية المركزية الجديدة التي تم بناؤها وتنفيذهاء غير أن النتائج كانت 
ف نينا للامال. حيث كانت اللشكلة المتكررة هنا هي أن نظم الحوسبة المركزية 
الجديدة تلك لا تملك السعة الكافية لمعالجة الكميات المطلوبة من بيانات المؤسساتء وف 
حال قامت بذلك. كانت تواجة العديد من مشاكل الصيانة والتوقف عن العمل. 


وقد كان الحل بالنسبة للعديد من المؤسسات وقتها هو تحويل ونقل عمليات التشغيل 
الخاصة بنظمهم الحاسوبية إلى ما كان يعرف وقتها بمكاتب الخدمة - وهو أحد أكبر موارد 
نظم الحاسب المركزية الذي كان يقوم بتجميع المدخلات للعديد من العملاء ومعالجة 
النظم الخاصة بهم وتسليم تقارير بالمخرجات. ولم تكن مكاتب خدمات النظم الحاسوبية 
تلك تعمل على نحو جيد أو مناسب بالنسبة للجميع. فقد كان العديد من المشاركات في 
تلك الخدمات يتم دون إدراك ووعي تام لا سيحصلون عليه من حيث الخدمات وإمكانية 
المحافظة على أمن وسلامة معلوماتهم وإمكانية متابعة الضوابط الداخلية للعمليات 
الخاصة بمؤسساتهم. لقد انتهت عمليات التشغيل الحاسوبية الخاصة بمكاتب الخدمة هذه 
وم يعد لها وجود في هذه الأيام: وكان ذلك حتى قبل زوال الأجهزة المركزية 121211211826 
بفترة كافية. على كل حال فقد وقعت بعد ذلك بعض الأمور المشابية بلا يحدث هذه 
الأيام مع المؤسسات التي تقوم بتحويل بعض عمليات التشغيل الاعتيادية الخاصة بها إلى 
بيئة الحوسبة السحابية. القضية الرئيسية هي أن المؤسسات لا تقوم دائما بتوجيه الأسئلة 
ال ملائهة لقن الخدمات الخاصة بهم عندما يقومون بالتحويل إلى البيئة السحابية ذات 
البنية الموجهة نحو الخدمات 504. 

عند اتخاذ قرار يتعلق باختيار مقدم الخدمة كجزء أساسي من عملية الانتقال إلى البنية 
ااج صنو الحدهات 964 الج الجا ةن اة هب آل كمال کا من 
هؤلاء الباعة المتنافسين على تقديم الخدمات بعض الأسثلة الحاسمة والمهمة التي تتعلق 
بعمليات التشغيل والمعايير الخاصة بهم. ويجب على الفريق الإداري المسؤول عن حوكمة 
تقنية المعلومات في المؤسسة الحصول على ضمانات كافية بشأن بعض المجالات والمخاوف 
السبع التالية في عملية مزود الخدمات الحاسوبية السحابية: 


دليل المسئول التنفيذي لحوكمة تقنية ابمعلومات ۹۴ 


الفصل التاسع 


-١‏ المستخدم المصرح له بالوصول إلى البيانات: إن البيانات الحساسة التي تتم معالجتها 
خارج المؤسسة وف بيئة الحوسبة السحابية تخمل معها مستوى متأصلاً من المخاطرء نظراً 
لأن خدمات التعهيد الخارجي تغفل الضوابط المادية والمنطقية وكذلك الضوابط الخاصة 
بالأفراد العاملين بتقنية المعلومات التي تمارسها إدارة تقنية المعلومات على برامج نظمها 
الداخلية وتبذل فيها الكثير من الجهد. لذا يجب على مقدم خدمة الحوسبة السحابية 
إعطاء معلومات وضمانات كافية تتعلق بالأشخاص الذين سيتولون إدارة بيانات ونظم 
المؤسسة ف البيئة السحابية. كما يجب على مزودي الخدمات توفير معلومات محددة 
عن عمليات التوظيف والإشراف على مديري النظم أصحاب الامتيازات والصلاحيات 
وعن الضوابط ال مفروضة على وصولهم للبيانات والنظم. 

؟- الامتثال التنظيمي: إن المؤسسة في النهاية هي المسؤولة عن أمن وسلامة بياناتها 
حتى بعدما تقوم برفعها إلى أحد مزودي الخدمات. لذا يجب على مقدم الخدمات 
الحاسوبية السحابية إعطاء معلومات تفصيلية وكافية عن السياسات الخاصة بحوكمة 
الأمن المتبعة لديها وعن النتائج المعلنة الخاصة بتقارير عمليات التدقيق الخارجي 
الأخيرة وبالشهادات المتعلقة بالأمن لديه. ويجب أن يوافق مزود الخدمة على إخطار 
المؤسسة بتلك الأنشطة بشكل منتظم. 

*- أماكن البيانات: عندما تقوم المؤسسة باستخدام البيئة السحابية لتخزين البيانات 
والنظم الأساسية الخاصة بهاء فمن المحتمل ألا تكون المؤسسة على علم بالمكان الذي 
سيستضيف البيانات الخاصة بهاء بل حتى بالدولة التي ستوجد بها هذه البيانات والنظم. 
وموجب قوانين ملكية البيانات» فإنه يتعين على مقدمي خدمات الحوسبة السحابية 
تقديم معلومات كافية عن الالتزامات والاختصصات القضائية للأماكن التي سيتم فيها 
حفظ ومعالجة بيانات المؤسسة. كما يجب على مقدم الخدمة أيضا إبرام عقد إلزامي 
بالامتثال والالتزام بمتطلبات الخصوصية ال محلية نيابة عن عملائه. 

ع- الفصل بين البيانات: تكون البيانات عادة داخل السحابة في بيئة مشتركة بجانب بيانات 
خاصة بعملاء آخرين. لذا يجب على مقدم الخدمة توفير معلومات تفصيلية حول ما 
سيتم غملة لفضل البيانات في فترات التوقف» ويجب عليه أيضا تقديم ذليل ينبت أن 
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برامج التشفير الخاصة به قد تم تصميمها وفحصها من قبل خبراء مختصين. فحوادث 
التشفير قد تجغل البيانات غير ضالحة للاستعمال بشكل كاملء بل من الممكن أيضا أن 
تجعل حتى إتاحتها عملية صعبة ومعقدة. 

۵- استرجاع البيانات: حتى إن كانت المؤسسة لا تعلم المكان الذي توجد فيه بياناتها 
داخل السحابةء فإنه يجب على مزود الخدمات السحابية ان يقوم بتوثيق ما سيحدث 
لبيانات وخدمات المؤسسة في حال وقوع الكوارث. كما يجب عليه أن يقدم الدليلء 
متضمنا نتائج الفحص الخاصة به والذي يثبت أن وسائل الاسترجاع والتعاف المستخدمة 
لديه قادرة على عمل نسخ طبق الأصل من البيانات والبنية التحتية للتطبيقات عبر عدة 
مواقع. كما يجب على الخدمة أن تؤكد ما إذا كانت لديها المقدرة على إجراء الاستعادة 
الكاملة وكم من الوقت ستأخذ للقيام بذلك. 

1- دعم التحقيق والاستقصاء: قد يكون من المستحيل حدوث أنشطة تخص التحقيق 
أو الاستقصاء غير الملائم أو غير القانوني في الحوسبة السحابية. حيث إنه من الصعب 
إجراء محقيقات أو المتقضاءات تعلق بالخدمات السحانية غل وجه الخصوصض نظرا لان 
عملية الدخول وكذلك البيانات للعديد من المستخدمين قد تتشارك في الموقع وقد تنتشر 
أيضا عبر مجموعة من الخوادم المضيفة ومراكز البيانات الدائمة التغيير. لذا يجب على 
مقدم الخدمة إبرام عقد إلزامي لدعم أشكال محددة من التحقيقات والاستقصاءات» 
إلى جانب تقديم الدليل على أن مقدم الخدمة بالفعل قد قام بدعم مثل هذه الأنشطة 
بنجاح. 

۷- قابلية الاستمرار والتطبيق لفترة طويلة: لا يوجد لدى المؤسسة أي ضمانات بأن مقدم 
خدمة الحوسبة السحابية الخاص به لن ينكسر أبداً أو يتم ابتلاعه والاستحواذ عليه من 
قبل شركة أكبر. على كل حال فإنه يجب على المؤسسة أن تحصل على ضمانات كافية من 
مقدم خدمة الحوسبة السحابية الخاص بها بأن بياناتها ستبقى متاحة حتى بعد حدوث 
ذلك. كما يتعين على أي مقدم خدمة تقديم الضمانات الكافية بأن المستخدمين سوف 
يسترجعون بياناتهم وبالصيغه التي تسمح لهم باستخدامها ق التطبيقات البديله. 
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تعد الحوسية السحابية وتطسقات الىنية الموجهة نحو الخدمات 50848 الخاصة بها من 
المجالات المتطورة والسريعة التغير. لذا فإننا نستطيع أن نتوقع رؤية المزيد من المعايير 
الموضوعة وأفضل الممارسات المتعارف عليها في المستقبل. وعلى الرغم من أننا قد أشرنا إلى 
مكاتب خدمات تقنية المعلومات التى كانت تستخدم منذ سنوات عديدة مثالا على كيفية 
عدم اختيار مقدم الخدمات اا فإننا نشعر بأنه كان هناك ما يكفي من الدروس 
المستفادة في هذا الصدد لعدم تكرار مثل تلك الأخطاء. فالحوسبة السحابية هي الموجة 
المستقبلية» ويجب علينا أن ننظر إلى المزيد من الاستخدامات لهذا المفهوم في السنوات 


القادمة. 


نظم تقنبة المعلومات وافتراضية إدارة التخزين: 

الافتراضية هي مفهوم يعبر عن تجميع وسائل التخزين المادية لتقنية المعلومات من 
عدة أجهزة تخزين شبكية داخل ما يبدو وكأنه وحدة تخزين واحدة يتم إدارتها من خلال 
وحدة تخزين مركزية. حيث يساعد التخزين الافتراضي المدير المسؤول عن التخزين في 
تقنية المعلومات على إنجاز مهام النسخ الاحتياطي والأرشفة واسترجاع البيانات بشكل 
أكثر سهولة وفي وقت أقل: وذلك عن طريق إخفاء التعقيدات الحقيقية الموجودة في شبكة 
أجهزة تخزين تقنية المعلومات بالكامل. وقد قدم مؤلف هذا الكتاب لافتراضية إدارة 
التخزين لأول مرة عام ٠٠١٠‏ عندما كان عضوا فى مجموعة استشارية صغيرة في شركة إي إم 
سي 2010 التي قامت بإطلاق الممارسات الاستشارية لمكتبة البنية التحتية لتقنية المعلومات 
Information Technology Infrastructure Library (ITIL)‏ )وقد تم مناقشة أفضل 
الممارسات المتعلقة بآيتل في الفصل السادس من هذا الكتاب). في هذا الوقت» كانت شركة 
60 أحد الرواد في مجال أجهزة إدارة التخزين وكان تقديمها لمفاهيم الافتراضية يعد 
ابتكارا تقنياً كبيرا. وقد أصبحت الافتراضية منذ ذلك الوقت تستخدم على نطاق واسع كما 
أنها إحدى العمليات الهامة لإدارة موارد تقنية المعلومات. 


ولفهم ومعرفة افتراضية تقنية المعلوماتء ينبغي على ال مرء أن يعود مرة أخرى 
إلى الأيام الأولى للنظم الحاسوبية - ولاسيما الأجهزة المركزية الكبيرة 1121111181265 
التي كانت تستخدم في الماضي. فقد كانت أنظمة التشغيل لتلك الحاسبات تتحكم 


حوسبة سحابية وافتراضية وحوسبة محمولة متنقلة 


٤‏ مجموعة مختلفة من الأجهزة الطرفية الأمصلق متشا ذلك الطابعات ومشغلات 
الأشرطة وما كان يطلق عليه وقتها قرص التخزين الضخم وأجهزة تشغيل الأسطوانات. 
وعلى الرغم من أن أنظمة الحاسبات المركزية 72310253126 البدائية هي التي قامت 
في البداية بالاستخدام المكثف لمشغلات الأشرطة الممغنطة الرخيصة نسبيا في عمليات 
تخزين البيانات؛ فإن التقنية سرعان ما تحولت إلى استخدام أجهزة التخزين التي 
اعتمدت في البداية على الأسطوانات الممغنطة الدوارة ومن ثم على مشغلات الأقراص 
وعلى الرغم من الأثمان الباهظة لمشغلات الأسطوانات والأقراص عندما تم تقدهها لأول 
مرة في الأيام الأولى لظهور تقنية المعلومات» فإنه سرعان ما أصبحت تلك المشغلات أكثر 
شيوعا واستخداما من مشغلات الأفرطة البدائية. فقد كانت مشكلة مشغلات الأشرطة 
هي أنه من أجل قراءة السجل رقم ٠١٠,٠٠١‏ مثلا لابد أن يمر مشغل الشريط أولا على 
يوه اا قيلة فصول الف وران ما أت مشت فلات الألطوانات فة 
بصمة تاريخية: وسرعان ما انتقلت التقنية إلى الأقراص الدوارة التي امتازت بالسرعة 
العالية وبمخططات الفهرسة التي كانت تسمح لها بتحديد موقع السجل رقم ٠٠١.٠٠١‏ 
بشكل فوري إلى حد ما. 

بوجه عام» فإن افتراضية تقنية المعلومات تعني إنشاء نسخة افتراضية من أجهزة أو 
موارد تقنية المعلومات. مثل الخادم» أو أجهزة التخزين» أو الشبكة. أو حتى نظام التشغيل 
حيث يعمل إطار العمل على توزيع هذا المورد على واحد أو أكثر من بيئات التشغيل. 
حتى إن الممارسة الشخصية الشائعة والخاصة بتقسيم القرص الصلب لنظام الحاسب 
يم (الشخصي) تعد فشكلا من أشكال الافتراضية نظرا لأنك تة تقوم بأخذ قرص واحد 

تقوم بتقسيمة إلى اثنين من مشغلات الأقراص الصلبة. حيث يستطيع كل من الأجهزة 
والتطبيقات والمستخدمين التفاعل مع هذا المورد الافتراضي كما لو کان مصدرا منطقا 
Eê Ê‏ لقد أصبح مصطلح الافتراضية بطريقة قة ما مصطلحا شائعا في عالم تقنية : 
ا معلومات» وأصبح يُطلق على نظم الحاسب والعناصر التي تم تحويلها إلى البيئة الافتراضية 
اسم الأجهزة الافتراضية (17115) 8131711165 1711]0121. ترتبط افتراضية تقنية المعلومات 
بعدد من التقنيات الخاصة بتقنية المعلومات تشمل ما يلي: 
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٠‏ التخزين الافتراضي 711121122610 5]01286: وهو دمج العديد من أجهزة التخزين 
الشبكي بحيث تبدو كأنها وحدة تخزين واحدة. فقد كانت المرة الأولى التي تم فيها 
تقديم افتراضية إدارة التخزين لتقنية المعلومات نحو عام ۲٠١۲‏ من قبل شركة :281160 
وقد تم التقاط هذا المفهوم من قبل العديد من بائعي المعدات الحاسوبية لنظم إدارة 
التخزين. 

٠‏ الخادم الافتراضي ۷1۲۲۵117410٥1۸‏ :561361: وهو تقسيم الخادم الفعلي إلى خوادم 
افتراضية أصغر حجما. وقد كانت شركة 18۷ هي أول من طور هذا المفهوم عن طريق 
نظام التشغيل الخاص بالحاسب ال مركزىي الافتراضي 72211111826 181 الخاص بها والذي 
يعود إلى تمانينيات القرن الماضي. 

٠‏ نظام التشغيل الافتراضي :0perating system-level virtualization‏ وهو أحد أنواع 
التقنية الافتراضية للخادم التي تتعامل مع نظم التشغيل المعقدة ذات الطبقات البرمجية 
التعددة. 

٠‏ الشبيكة الافتراضية ۷1۲۲121173101 kا0ساNe:‏ مكن جعل الشبكة الفعلية الواحدة 
عبارة عن شبكة افتراضية من خلال عمليات التقسيم المنطقية لموارد الشبكة. 

٠‏ التطبيق الافتراضي 711111211220101 162]102اممة: مكن استخدام هذا المفهوم نفسه 
لزيادة فائدة وكفاءة تقنية المعلومات وإدارة عمليات الترقية والنسخ الاحتياطي بصورة 
أكثر سهولة. وهو ما سنقوم بتوضيحه في القسم التالي. 

إن الافتراضية عموما هي فصل وظائف الجهاز عن عناصره الحقيقية باستخدام برمجيات 
خاصه. ففي البيئه الافتراضيه يتم فصل ال موقع الفعاي للوحدة عن وظائفه وتقوم برمجيات 
التحكم بإدارة البيانات أو الوظائف بغض النظر عن أماكنها الحقيقية. حيث تعتبر عملية 
إدارة وحدات مادية منفصلة والتحكم بها من خلال برنامج خاص بالافتراضية من الطرق 
الفعالة جدا. فباستخدام برمجية التحكم ال مناسبة: يمكن استخدام تقنيات البيئة الافتراضية 
في العديد من أجهزة ومعدات تقنية المعلومات متضمنة إدارة التخزين ومكونات الشبكة 

والخوادم وأنظمة التشغيل وحتى التطبيقات. 


YA‏ دليل المسئول التنفيذي لحوكمة تقنية المعلومات 
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لقد اقتحمت اليوه البيئة الافتراضية لتقنية المعلومات صناعة تقنية المعلومات بكل 
ضاتغنيه الكلمة من معتى. فقد آهارت ا عطلاعات الرأي إلى أن ما يزيد عن نصف 
إدارات تقنية المعلومات في المؤسسات الكبيرة حاليا تقوم بتشغيل خادم افتراضي واحد على 
الأقل: وأن هناك عددا أقل بكر لكن معزائد هن هده الإذازات لديها اسعاتجنات أمندة 
قد ضممت خصيصاً للعمل في تلك البيئة الافتراضية الخاصة بها. من ثاحية أخرق» سواء 
كانت المؤسسة قد قامت فعلا بتطبيق إستراتيجية البيئة الافتراضية لتقنية المعلومات أم ما 
زالت في طور التطبيق لهاء فمن المحتمل أن تكون الشركة عرضة لمخاطر التهديدات الأمنية 
التي يمكن أن يكون لها تأثير كبير في البيئة التشغيلية الخاصة بالمؤسسة. وما كانت النظم 
التقليدية لأمن تقنية المعلومات تعتمد على المعدات وعلى نظم التشغيل الخاصة لتقوم 
بحماية البيئة التي تعمل بهاء فإنها تكون عديممة الفائدة في البيئة الافتراضية التي تهدف 
بالأساس إلى تقليل المعدات المستخدمة أو الاستغناء عنها. 

هذا بالإضافة إلى أن أفضل اللمارسات التقليدية أصبحت الآن ف موضع شك نظرا 
لأن تنفيذ التجزئة المادية وغيرها من الأساليب الأخرى يعد أمراً مستحيلا إلى حد ما في 
ظل تلك الممارسات. وأخيراًء فإنه نظراً لطبيعة البيئة الافتراضية» تتزايد تعقيدات الشبكة 
بشكل أسرع من نظم الإدارة والمراقبة القدهة» مما يجعل الرؤية فيما يتعلق بالبيئات 
الافتراضية والحقيفية غير واضحة هاما [ذلكق متاح الأؤسسات إل أن :تنظ فق 
إلى الأساليب الجديدة المتبعة لتأمين شبكاتها ومعلوماتها الحساسة في العام الافتراضي 
الجديد. 

يناقش القسم التالي بعض القضايا الفريدة الخاصة بأمن تقنية المعلومات والمرتبطة 
بتطبيق البيئة الافتراضية لتقنية المعلومات» التي تتجاوز القضايا العامة لحوكمة أمن 
تقنية المعلومات والتي تمت مناقشتها في الفصل العاشر من هذا الكتاب. بالإضافة إلى 
ذلك قد تثير البيئة الافتراضية بعض القضايا الفريدة لحوكمة تقنية المعلومات. لذا يتعين 
على المديرين فهم إستراتيجية البيئة الافتراضية وعمليات الرقابة الداخلية لإدارات تقنية 
المعلومات الخاصة بهم. 


دلبل المسئول التنفيذي لحوكمة تقنية ا لمعلومات ۲۹۹ 
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حوكمة تقنية المعلومات والافتراضة: 

كما ذكزنا سابقاء كان الظهور الأول لمفهوع الافتراضية فى عضر الحاسبات المركزية 
عندما قامت شركة 1811 بطرح المفهوم الذي أطلقت عليه اسم الأجهزة 
الافتراضية 7/13121265 771/1 كأحد العناصر الخاصة في بنية الحاسبات المركزية لديهاء وقد 
كان ذلك في ثمانينيات القرن الماضي. ثم انتقلت الخصائص الفريدة الخاصة بالأجهزة 
الافتراضية بعد ذلك إلى حاسبات سطح المكتبء تماماً كما انتقلنا نحن إلى النظم القائمة على 
بيئة الخادم-العميل ثم انتقلت إلى عاط الإنترنت. لقد أصبحت الافتراضية اليوم في مقدمة 
الموضوعات الساخنة نظرا لأننا نقوم بتحويل عمليات إدارة التخزين من البيئة الواقعية إلى 
الافتراضية وتطبيق الأجهزة الافتراضية في بيئة النظم الشبكية المتعددة الخوادم الموجودة 
اليوم. 

لقد اعتقد مديرو مراكز البيانات بداية بأنهم يستطيعون إدارة تلك الأجهزة الافتراضية 
بطريقة تشبه كثيراً الطريقة التي يستخدمونها في إدارة الخوادم الحقيقية الخاصة بهم إلا 
أن التجربة أثبتت استحالة هذا الأمر بشكل عام. فمع وجود العديد من القواسم المشتركة 
بين البيئتين الافتراضية والحقيقية» هناك أيضاً بعض الاختلافات الجوهرية التي تؤثر في إدارة 
وحوكمة النظم. 

إن الاق الل اة إحرادات وعهلنات الرقابة اللوجوذة امول رما حالنا 
كد واخدا مخ الافطفاك ال الكوة هناد فان سيل اال هفاك مجموعة عق 
العمليات والإجراءات المتبعة في مركز البيانات بخصوص عملية إضافة وتجهيز مجموعة 
من الخوادم الجديدة: ويتضمن ذلك سلسلة من التوقيعات والإجراءات المتعلقة بعمليات 
التسليم ال موجودة بين مختلف فرق مركز البيانات» وينتج عن ذلك ف النهاية خادم جديد 
تم تركيبه في مركز البيانات. فضلا عن إمكان إحدى عمليات تشغيل تقنية ا معلومات إنشاء 
خادم افتراضي جديد. حرفياء بمجرد النقر على زر الفأرة - وذلك إما بنسخ أحد الأجهزة 
الافتراضية الموجودة أو إنشاء جهاز افتراضي جديد من القوالب المخصصة لذلك - وقد أصبح 
من السهل تجاوز مثل تلك العمليات. 


- دليل المسئول التنفيذي لحوكمة تقنية المعلومات 


حوسبة سحابية وافتراضية وحوسبة محمولة متنقلة 


على سبيل المثال يمكن لعمليات تشغيل تقنية المعلومات المؤسسية عمل عدة نسخ 
افتراضية متماثلة من الخادم نفسه وتوزيعها على وحدات التشغيل الموجودة في المنظمة 
المحيطة بها. وقد تكون هناك تحديات بالنسبة للحوكمة والرقابة في تتبع هذه النسخ. 
حيث ستقوم النظم الإدارية المقدمة من قبل بائعي البرمجيات الافتراضية بتحديد أماكن 
الأجهزة الافتراضية عند لحظة زمنية محددة: ولكنها عاجزة عن أن تحدد أين كانت أو مدى 
علاقتها بالخوادم الافتراضية الأخرى. ومما يزيد الأمر تعقيداً حقيقة أن الأجهزة الافتراضية 
كماتم تعريفهاء متحركة. فهي قادرة على الحركة حول البيئة الخاصة بها بعد أن يتم 
نشرها. فهذه الحركة لا تجعل عملية تتبع وإدارة تلك الأجهزة الافتراضية أكثر صعوبة 
فحسبه بل هكن أيضا أن تكشف السياسات الخاصة بتقسيم البيانات والتطبيقات. 

إن هذه الاختلافات» وغيرهاء تجعل من الصعب أيضا بالنسبة لمعظم أدوات إدارة مراكز 
البيانات المعمول بها حاليا أن تكون قادرة على العمل في الفضاء الافتراضي وستترك العديد 
من النقاط الممهمة أو الخامفضة.. ومما يزيد هذا الأمفر تعقيدا قلة الأدوات اللازمة للإدارة 
الافتراضية وإعداد التقارير الخاصة بها وأتمتها. وتكون النتيجة بيئة يدوية تماما حيث لا 
تتكامل على نحو جيد مع نماذج الامتثال والرقابة الحالية طركز البيانات. وهذا يعني أن 
نظم "الراية الحمراء" أو التنبيه التقليدية قد لا تتمكن من العمل بالشكل المناسب في هذا 
الفضاء (الافتراضية)ء فهي إما أن يتم التحايل عليها وإما أنها ببساطة لا تستطيع رؤية 
عمليات التشغيل البومية: فتترك مراكز السانات مكشوفة أو مستهدفة. 

في مركز البيانات الفعلي الخاص بتقنية المعلومات وبجميع ما يتضمنه من نظم وعمليات 
وضوابط وتوازنات رقابية» يتم إصدار التنبيهات في حال حدوث أمور خارجة عن ال مألوف. 
فالإدارة ومن خلال الاستثناء تكون هي القاعدة المتبعة اليوم وهي البيئة التي تعتبر عدم 
وجود أخبار جديدة هو بحد ذاته خبرا جيدا. لكن البيئة التي تكون فيها الضوابط اليدوية 
هي المهيمنة غالبا وتشح فيها عمليات التبليغ عن الأحداث» وقصور الرؤية الرقابية قد تؤدي 
إلى إيجاد قضايا لن تستطيع إدارة عمليات تشغيل تقنية المعلومات التنبؤ بها مستقبلا. 
وقد لا تعد قضة ضخمة بالنسية لسيتة الحوسية الافتراضة الصغرةء ولكن كلما نمت السثة 
وآزداة ححمياء مت معيا انما آثار ذلك القضايا. 


دليل المسئول التنفيذي لحوكمة تقنية المعلومات ۳١‏ 


الفصل التاسع 


عندما تقوم إدارات تقنية المعلومات المؤسسية بتبني تلك البيئات الافتراضية» فإن نقص 
الضوابط الآلية في بعض بيئات الأجهزة الافتراضية والحاجة المتزايدة لأنشطة الضوابط 
الداخلية اليدوية قد يتسبب في حالة من عدم التوازن بين عمليات التشغيل الخاصة بتقنية 
المعلومات وعمليات التشغيل الخاصة بالضوابط الداخلية. وسوف تتفاقم هذه الحالة 
(حالة عدم التوازن) فقط عندما تنمو بيئة الأجهزة الافتراضية. إن هذا النقص في الضوابط 
الآليةء والمتابعة: والقياس المستمر في مراكز البيانات الافتراضية» إضافة إلى زيادة العمليات 
اليدوية المصاحبة: أدى إلى استحداث بيئه تحتوي على ضوابط ذات فاعلية أقل ومخاطر 
أكثر من البيئة الحقيقية المناظرة لها. 


قضايا حوكمة وأمن البيئة الافتراضية لتقنية المعلومات: 

عندما ينتقل التخطيط الذي يبذل فيه جهد كبير ولكنه في النهاية يخرج بشكل سين 
إلى البيئة الافتراضية: فإنه قد يتسبب في إيجاد تحديات بالنسبة للمؤسسة. وكما ناقشنا 
في الفصول الأخرىء كلما خرج المزيد من الأنظمة الموضوعة للحوكمة: وإدارة المخاطر 
والامتشال )6G۸٥(‏ عن التوازن: زاد التأثير في الأعمال بصورة كاملة. إن "نقاط التحول" 
الفردية هنا ستكون مختلفة لكل مؤسسة على حدة: ولكن عاجلا أو آجلا سيتم الوصول 
إليهاء وذلك عندما تبدأ المئؤسسات في رؤية التصاعد المستمر في تكاليفها ومخاطرها. وربما 
يكون هناك العديد من المؤسسات التي تعمل حاليا في ظل وجوذ نفقات غير مخطط لها 
على تقنية المعلومات» وذلك بسبب انتقالها إلى بيئات افتراضية غير فعالة. في حين تشهد 
مؤسسات أخرى ارتفاع نسبة الحوادث الطرئية وغير المرئية في مراكز البيانات. جميع هذه 
الأمور ستؤثر في نهاية المطاف على مجمل أداء الأعمال المؤسسية. 

ينبغي على المدير الأول في المؤسسة أن يناقش إستراتيجيات البيئة الافتراضية والأجهزة 
الافتراضية لتقنية المعلومات مع إدارة تقنية المعلومات. فإذا بدا أن الانتقال إلى الأجهزة 
الافتراضية سيكون على النحو المتفق عليهء فإنه يجب أن يكون هناك دليل على وجود خطة 
قوية لهذا المشروع (مشروع الانتقال). كما تمت مناقشته في الفصل السادس عشر من هذا 
الكتاب» هذا بالإضافة إلى وجود تقدير واضح لبعض المخاوف الاستثنائية للرقابة ال مرتبطة 
بالبيئة الافتراضية لتقنية ال معلومات. ولا يزال هناك العديد من السياسات التشغيلية 


حوسبة سحابية وافتراضية وحوسبة محمولة متنقلة 


وسياسات المخاطر والأهداف الرقابية يمكن تطبيقها في العام الافتراضي. رها يكون قد تم 
ضبطها لتتناسب مع الطبيعة الحركية لتلك البنية و لا تزال تطبق. وذلك 
يشمل العناصر المشتركة بالنسبة لجميع الخوادم (حقيقى حقيقي أو افتراضي) كالتهيئة ٠‏ وإدارة 
التوصيلات (التوضيلات الكهربائية): والأمن.. من ناحية قي فإن للبيئة الافتراضية تفردياً 
يتطلب سياسات وضوابط جديدة تشمل ما ياي: 


« إدارة الهوبة ]11121125111612 :Identity‏ نظرا اللطبيعة الحركية للأجهزة الافتراضية 
ستكون هناك حاجة إلى مستوى ما لإدارة هوية الملفات والموارد التي لا تعتمد ع 
(الأعراف) البسيطة للتسمية. لذا يتعين على وحدة ضمان جودة تقنية ا لمعلومات إلى 
جانب التدقيق الداخلي لتقنية المعلومات: مراجعة وتقييم العمليات من أجل ضمان 
تطبيق السياسات بشكل سليم. 

٠‏ التحكم في تنقلية الجهاز الافتراضي 6021101 :120611147 /173: أحد العناصر الأساسية 
في القيمة المضافة بالنسبة للبيثة الافتراضية هو ا مرونة التي قدمتها لمجموعات تقنية 
امعلومات. فقد تم تصميم الأجهزة الافتراضية بحيث تكون متحركة وتستطيع بكل سهولة 
الانتقال من خادم إلى آخرء سواء كان ذلك استجابة للعمليات الآلية لتوازن الأحمال: أم 
بسبب الإزالة اليدوية للأجهزة الافتراضية من أحد الخوادم الحقيقية التي تحتاج إلى 
فاا م فاح أرق قان هذه الكرونة کن أن فقون سا 5ا سد ون وذلك عدا 9 
يجب أن تكون جميع الأجهزة الافتراضية متنقلة. فعلى سبيل الم مثالء قد تحتاج إدارة تقنية 
المعلومات» سواء لأهداف تتعلق بالرقابة أم بالتدقيق» إلى إثبات أن تطبيقا ما متفق مع 
اللوائح التنظيمية أو المعايير الداخلية للشركة. فربما يكون هناك حاجة لسياسات تتعلق 
بالأماكن التي يجب والتي لا يجب أن تعمل بها بعض الأجهزة الافتراضية المحددة: كما 
تتعلق أيضا بتحديد المدة الزمنية التي يُسمح بها ببقاء الأجهزة الافتراضية دون اتصال. 

٠‏ التزويد الاحتياطي 21071510111115: هكن التحايل بسهولة على العمليات التقليدية 
المتبعة لإضافة خادم جديد. لذا لا بد من وضع عمليات جديدة تحكم كلا من: ما الذي 
سيتم التزود به؟ (ما الذي سيتم إنشاؤه احتياطيا؟): ومن الذي هلك سلطة السماح 
بإضافة خوادم جديدة؟ 


دليل المسئول التنفيذي لحوكمة تقنية ا معلومات ۳۴ 


الفصل التاسع 


٠‏ فصل السانات 5623180101 10313: لكل مركز سانات مجموعة من القواعد المتبعة 
للقيام بعملية الفصل بين بيانات التطبيقات لديه. والتي يكون الدافع لها عادة إما 
المخاوف الأمنية أو القضايا المتعلقة بالامتثال. فعندما تقوم إدارة تقنية المعلومات بوضع 
التطبيقات ف البيئة الافتراضية والتي تندرج تحت هذه المعايير ذ فمن المهم التفكير في 
الكيفية التي سيُفرض بها هذا الأمر على الجانب الافتراضيء» ولكن أيضا للحماية من 
التحركات غير الملائمة المقصودة وغير المقصودة خلال دورة حياة هذا الخادم. 

ه الاسترداد 121186102ع126: إن ضمان إزالة الأجهزة الافتراضية الزائدة أو غير الملستخدمة 
يعد مجالاً آخر من المجالات التي تتطلب سياسة وأهدافا معينة. كما أن الآثار الأمنية 
المترتبة على هذه التقنية الجديدة هي أيضاً بحاجة إلى أن تؤخذ بعين الاعتبار. وهي 
تشمل: تأثير الأجهزة الافتراضية على النظم الأمنية لتقنية المعلومات المعمول بها حاليا 
(فبعض النظم لا تعمل جيداً في البيئة الافتراضية). ومدى احتمالية التعرض لتهديدات 
هجومية جديدة. 


قد لا يكون المدير التقليدي المسؤول عن حوكمة تقنية المعلومات المؤسسية مُلما بتلك 
القضايا والمسائل السابقة الذكر. ومع ذلك قد تستخدم تلك بلسائل قاط حوار ,س 
خلال الحديث مع إدارة تقنية المعلومات لديهم حول ما يتعلق بتة بتقييم أي برنامج يخص 
افتراضية تقنية ا معلومات داخل المؤسسة. وعلى الرغم من سرعة تبني الغا الافتراضي ف 
جميع أنحاء العام؛ فإنها لاتزال تقنية غير ناضجة نسبيا. فبالنسبة للكثيرين قد دخل الخادم 
الافتراضي إلى مركز البيانات من الباب الخلفي كأحد الأدوات التشغيلية المستخدمة والتي 
حققت مستوى جيدا من العوائد الاستثماريية Return On Investment (RO1)‏ وقد 
تطور الخادم الافتراضي منذ ذلك الوقت ليصبح البنية الهيكلية الجديدة مركز البيانات. لكن 
دخوله بهذه الطريقة جعله لا يخضع أبدا للعمليات الاعتيادية الخاصة ممراجعة الضوابط 
الداخلية التي يتم اتباعها عادة من قبل إدارات تقنية المعلومات قبل إطلاق الخوادم ق مركز 
البيانات» وأسهم دخول الخادم الافتراضي بهذه الطريقة أيضاً في نقص بعض الوظائف التي 
تشتد الحاجة إليها. 


٤‏ دليل المسئول التنفيذي لحوكمة تقنية المعلومات 


حوسبة سحابية وافتراضية وحوسبة محمولة متنقلة 


يوجد في السوق اليوم عدد من منتجات منصات البرمجيات الافتراضية › وتعتبر في إم 
وار ۷M w2۲١‏ هي الشركة الرائدة في هذا ا مجالء مع وجود عدد قليل من الشركات الأخرى 
مشل شركة مايكروسوفت 111105016 وشركة سيتركس 11132. فلكل منصة من هذه 
المنصات مجموعة مختلفة من نقاط الضعف ونقاط القوة. وقد خلصت العديد من إدارات 
نقتية المعلومات إلى تشغيل خليط مكون من تلك المنصات الثلاث محا الأمر الذي أثار 
قضية أو مشكلة تتعلق بكيفية إدارة تلك البيئات غير المتجانسة. فليس بالأمر المفاجن أن 
تركز نظم الإدارة المقدّمة من قبل باعة النظم الافتراضية على نقل الجهاز الافتراضي أكثر من 
تزقيدها على إدارة البيثة تفسها: إضافة إلى ذلك فإن معظم باعة النظم التقليدية الخاصة 
بإدارة مراكز البيانات يملكون نظماً تم بناؤها للعمل في بيئة مراكز البيانات الحقيقية ولا 
تعمل جيدا في البيئات الافتراضية. 

واعت مادا على عمليات تش غيل ثقنية المعلومات وعلى العمليات الخاضة بالحوكمة 
وإدارة المخاطر والامتثال 6120 التي تمت مناقشتها في فصول أخرى. فإنه ينبغي على 
إدارة المؤسسة العمل مع عمليات تشغيل تقنية المعلومات لديها لمعرفة ما إذا كانت 
المعايير المناسبة الخاصة بالرقابة الداخلية لا تزال موجودة ومعمولا بها ف البيئة الافتراضية. 
فبالنسبة للكثيرين رها يكون هناك حاجة لنظم إضافية في مراكز البيانات الافتراضية» سواء 
كان ذلك لتعويض القصور الموجود في نظم إدارة مراكز البيانات والبيئات الافتراضية المعمول 
بها حالياً أم لفرض وتطبيق سياسات إضافية يتطلبها هذا المجال. 

لقد وجدت البيئة الافتراضية هنا لتبقى. لذلك إذا كثفت إدارة تقنية اللعلومات من 
تبنيها للخوادم الاقتراضية في مركز البيانات الخاصة بهاء فإنه يجب عليها أن تأخذ بعين 
الاعتبار آثار استخدام تلك الخوادم الافتراضية على الضوابط الداخلية للأعمال والتي تتضمن 
ما يلى: 


٠‏ تطبيق المعايير والعمليات المعمول بها حالياً في الفضاء الافتراضي أينما أمكن: من 
المحتمل أن تحتاج الات والضنانات الأعمول هااا إن يا ولكن مع التأكيد 
على وضعها موضع التنفيذ لتبداً بتقديم الرؤية والرقابة المطلوبة بالإضافة إلى التبصر فيما 
هو ضروري ومطلوب من نظم إدارية إضافية. 


دليل المسئول التنفيذي لحوكمة تقنية ا لعلومات ۳۵ 


الفصل التاسع 


٠‏ وضع ال معايير والعمليات الجديدة التي تحتاج إليها تلك التقنية: ينبغي على اللؤسسة 
أن تزيد من مستوى رقابتها إلى ما هو أبعد من ذلك» وعلى الأقل يجب أن تشتمل هذه 
الأمور على: 

- المراقبة والتبليغ. 

- التحكم في التزويد التقني. 

- إدارة هوية الجهاز الافتراضي. 

- ضبط تنقلية الأجهزة الافتراضية لفرض الفصل بين البيانات. 
- إصلاح الأجهزة الافتراضية عند انتهاء العمر الافتراضي لها. 

٠‏ الأقبتة قدر الإمكان: إن العمليات اليدوية ليست متناغمة وتحتاج إلى المزيد من الوقت 
لإتمامها. لذا سنجد في نهاية المطاف أن الطريقة الوحيدة لإعادة التوازن لنموذج الحوكمة 
وإدارة المخاطر والامتثال 6۸٣‏ هو زيادة مستوى التشغيل الآلي عن طريق تطبيق نظم 
إضافية جديدة يحتاج إليها هذا المجال. وهذا سيكون له تأثير إضافي من أجل الحد من 
النشاط والعملىات البدوية؛ وزيادة الضوابط الداخلية: وتقليل المخاطرء إضافة الى توفير 
كميات كبيرة من الوقت المستهلك في العمليات الإدارية. 

٠‏ مراجعة البنية الأمنية لديك: لكي نكون أكثر كفاءة وفاعلية. فإن العديد من أنواع 
الأجهزة الأمنية والأدوات الرقابية التى نود أن نعرف ما الذي تقوم بحمايته هذه الأجهزة 
وأين يكونء وكذلك حركة الأجهزة الافتراضية؛ كل ذلك قد يكون محل جدال. وقد 
يفرض التغيير المستمر الموجود في البيئة الافتراضية مطالب حيوية ديناميكية على أي 
نوع "ثابت" من أنواع الحلول الأمنية وحتى في البنى التحتية للبيئات الافتراضية الصغيرة. 
خلاصة القول هي: أن بعض البنى التحتية الأمنية لن تعمل جيدا في البيئة الافتراضية. 
ورا يكون امنتج الأمني» غير القادر عدي العمل ندا على مستوى جميع الأهداف 
والممارسات. غير قادر أيضأ على العمل مطلقا 

٠‏ تطبيق معابير تدقيق ومعايير داخلية محددة (ونظم إبلاغ) تناسب الفضاء الافتراضي: 
فكما وضحنا سابقاء إن البيئة الافتراضية تحتاج إلى سياسات وممارسات ومعايير رقابية 
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جديدة. وعند دخولها حيز التنفيذ ستحتاج أيضا إلى رقابة داخليةء وعمليات تدقيق, 
وإجراءات جديدة مناظرة لها. فعلى سبيل المثال؛ تحتاج التطبيقات اللممتثلة لقانون ×90 
إلى أن تكون مفصولة عن النظم الأخرىء وتحتاج أيضا إلى تطبيق ضوابط أكثر صرامة 
على عمليات الوصول للبيانات. إلا آن التنقلات الطبيعية للخوادم الافتراضية أسهمت في 
إضافة عامل جديد إلى عملية التدقيق وهو: هل تم انتقال هذا الجهاز الافتراضي إلى أحد 
الخوادم الإضافية خلال الفترة الزمنية المخصصة لعملية التدقيق؟ إذا كان هذا قد تم 
فما الأجهزة الافتراضية الأخرى التي كانت موجودة على هذا الخادم؟ 
وكما يحدث عادة مع أي تقنية جديدة تخص تقنية المعلومات» قد يتسبب تركيب 
برمجيات البيئة الافتراضية وكذلك التغييرات الكبرى في إحداث بعض التحسينات الجوهرية 
على فستوى كفاءة العمليات. غلى أي حالء فإن إدارة تقنية ا محلومات هى هن تقوم غالبا 
بتنصيب تلك الأدوات الجديدةء غير أنها تتجاوز غالبا مستوى فهم الإدارة العامة العلياء لذا 
يجب أن يحصل كبار المديرين: على جميع المستويات» على فهم عام حول نشاطات البيئة 
الافتراضية في مؤسساتهم. 
يوضح الشكل التوضيحي )١-5(‏ قائمهة ببعض الممارسات الجيدة لحوكمة تقنية 
المعلومات في البيئة الافتراضية لإحدى المؤسسات التجارية التقليدية. إذ يجب أن تساعد 
هذه الممارسات المدير الأول على فهم الكيفية التي من خلالها يتم تطبيق البيئة الافتراضية 
في اللؤسسة. 
لقد بدأ العمل بالبيئات الافتراضية في معظم مراكز البيانات على أنه جهد تخطيطي» 
قاده قسم تقنية المعلومات» وقد ركز وقتها على مسألة الفوائد العائدة من الاستثمارات 
01 الخاصة بعملية دمج الخوادم. لكن الانتقال من تكامل الخوادم الذي كان يتم 
لتحقيق غرض معين إلى البيئة الافتراضية أدى إلى المزيد من الاستخدامات في بيئة العمل 
الإنتاجيةء وزيادة نسبة مراكز البيانات ذات البيئة الافتراضيةء كل ذلك يتطلب نظرة أكثر 
إستراتيجية حول مدى تأثير هذه البنية في إدارة مراكز البيانات والضوابط الخاصة بالأعمال. 
فوجود ممارسات وعمليات فعالة تتعلق بالبيئة الافتراضيه سيضمن قدرة المؤسسه على 
تحسين القيمة الإجمالية لهذه التقنية. 


دلبل اطمسئول التنفيذي لحوكمة تقنية ا معلومات ۷ 


الفصل التاسع 


شكل توضيحي (۲-۹) 


الممارسات الجيدة لحوكمة تقنية المعلومات في البيئة الافتراضية 


٠‏ التأكد من أن جميع الأطراف المتأثرة تدرك مزايا وعيوب البيئة الافتراضية: قبل انتقال تقنية 
المعلومات من النظم الفعلية القدهة إلى النظم الافتراضية» أو القيام بإضافة مجموعة جديدة من 
الخوادم الافتراضية لتنفيذ أعباء أعمال محددة. فإنه ينبغي على إدارة تقنية المعلومات والإدارة أن 

| يتأكدوا من فهمهم للقيود والحقائق المتعلقة بالبيئة الافتراضية من حيث استخدامات وحدة اللعالجة 
المركزية والذاكرة ومجمل الضوابط الخاصة بحوكمة تقنية ال معلومات. 


٠‏ تحديد الأولويات لإدارة النظم الافتراضية وتصحيحها وأمنها: أي وضع قيود على عملية انتشار 
الأجهزة الافتراضيةء وتشمل جميع الأجهزة الافتراضية الموجودة في حزم تقنية المعلومات: والإدارة 
والبنى التحتية الخاصة بسياسات الأمن. 

٠‏ التعامل مع النظم الافتراضية كما لو كانت نظماً فعلية في معظم الأحوال: بشكل عام فإنه يجب 
ألا تعامل النظم الافتراضية كما لو كانت مختلفة عن أي من النظم الفعلية. لذا يجب أن يتم تطبيق 
النظم الافتراضية وفقا لمجموعة معرفة على نحو جيد من البيانات الخاصة بسياسات وممارسات 
الحوكمة والتي صممت بالشكل الذي يضمن أن بيانات النظم الافتراضية: 


٥ه‏ هكن الوصول إليها: بمعنى أنه يجب أن يتمكن مستخدمو النظم الافتراضية من الوصول إلى 
البيانات التي يحتاجون إليها وبالصيغ التي تتوافق مع متطلباتهم. 

ه آمنة: تماماً كما هو الحال بالنسبة لجميع التطبيقات الاعتياديةء فقط الأشخاص المصرح لهم هم 
الذين يجب أن يسمح لهم بالوصول إلى بيانات النظم الافتراضية» أما الأشخاص غير المصرح لهم 
بذلك فيجب أن يتم منعهم من الوصول إلى تلك البيانات. 


0 متطابقة ومتناغمة: عندما يقوم اثنان من المستخدمين بالبحث عن البيانات نفسهاء يجب أن 
يتم ترشيد "نفس" البيانات في إصدارات متعددة بصورة منتظمة. 

0 عالية الجودة: يجب أن تكون البيانات الصادرة عن تطبيقات البيئات الافتراضية دقيقة ومتطابقة 
لتلبية معايير تقنية ا معلومات المعمول بها. 

ه قابلة للتدقيق: يجب أن يكون ف البيئة الافتراضية مسارات واضحة تشر إلى مصادر البيانات» 
ورؤية واضحة لأصل هذه البيانات. وضوابط تدل على أن إدارة تقنية المعلومات تعلم من الذي 
يستخدم هذه البيانات وما الغرض من استخدامها؟ 
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٠‏ توظيف إجراءات نسخ احتياطي قوية للتطبيقات: إن عمل نسخ احتياطية لكامل الجهاز الافتراضي 

يحتاج إلى وقت أكبر ويعطي القليل من الخيارات فيما يتعلق بعملية الاسترجاع السريع للنظم. ومع 
أ ذلك. فإنه يجب أن تقوم إدارة تقنية ا معلومات بعمل نسخ احتياطية وبشكل منتظم من تطبيقات 

البيئة الافتراضية تماما كما لو كان يقوم بحماية النظم الفعلية ذات المهام الحساسة. والتأكد من قدرة 
| إدارة تقنية المعلومات على تنفيذ عمليات التعافي السريعة وزيادة الثقة بالتطبيقات كذلك. 


٠‏ التخزين المركزي للنظم: السبب الرئيسي وراء زيادة الأجهزة الافتراضية غالبا هو انتشار أجهزة 


الخوادم المضيفة الفعلية في جميع أنحاء المؤسسة. لذلك وف ظل وجود النظم الافتراضيةء فإن عملية 
نسخ كامل لنظام الضيف (أو الاثنين) سهلة جداء وإن هذه السهولة هي السبب الرئيسي في تزايد 
الأجهزة الافتراضية وكذلك النتيجة المحتملة لفقدان البيانات. فإذا عجزت إدارة تقنية ا معلومات عن 
| تأمين الأجهزة الافتراضية التي لديها ‏ فلا بد أن يكون لديها أقراص مشفرة حقيقية أو افتراضية لضمان 
| عدم فقدان البيانات السرية. فعندما تقوم بوضع أجهزة الخوادم ا لمضيفة الافتراضية الخاصة بك 
والوحدات التخزينية في أماكن مركزية آمنةء فإن إدارة تقنية ا لمعلومات ستتمكن من الحد من تزايد 


الأجهزة الافتراضية وكذلك احتماليه فقد ان البيانات. 





قضايا حوكمة الهواتف الذكية وأجهزة تقنية المعلومات المحمولة: 

يستخدم الناس هذه الأيام وعلى اختلاف مستوياتهم أجهزة الهواتف الذكية والحاسبات 
اللوحية لممارسة النشاطات الشخصية والمنزلية الخاصة بهم. وقد بدأ ذلك على شكل 
هواتف خلوية شخصية صغيرة وتطور الأمر على مر السنين إلى أجهزة قادرة على الاتصال 
بالإنترنت» وإرسال الرسائل النصية» والتقاط الصور وإرسالها وما هو أكثر من ذلك بكثير. 
يمتلك الحاسب اللوحي 130166' الإمكانيات الموجودة في الحاسب الشخصي المحمول Laptop‏ 
باستثناء لوحة المفاتيح الك حسواء فالعامات اللوحدة اضف عسياء داهف وزناءؤقاددة 
بالأساس على العمل كما لو كانت هواتف ذكية. وعلى الرغم من الميزات القوية والعديدة 
الموجودة فى تلك الأجهرة فإنها تعتبر نسبيا ذات تكلفة أقل. وقد أصبحت أجهزة شخضية 
تستخدم من قبل العديد من العائلات ومن ضمنهم الأطفال الصغار. وقد أشرنا في هذا 
القسم إلى جميع هذه النظم باسم الأجهزة المحمولة 469165 0614هطء سواء كانت 
هواتف ذكية. حاسبات لوحيةء أجهزة تخزين صغيرة 088 آم غيرها. 


دليل المسئول التنفيذي لحوكمة تقنية المعلومات 0 


الفصل التاسع 


منذ عدة سنوات ليست بالكثيرة لم تكن هذه الأجهزة ا محمولة مستخدمة في أماكن 
العمل. إلا أن المؤسسات قد قامت بتشجيع الموظفين الرئيسيين لديها باستخدام أجهزة 
الحاسبات الشخصية المحمولة م0]م1.3. وقامت بإصدار روابط آمنة لتمكنهم من الوصول 
إل لاف اة العامة اة فقلا عن أن كلك العاسات القحصة اة 
05 كانت تعار للموظفين ليقوموا باستخدامها لأغراض العمل فقطء أما الاستخدامات 
الشخصية لها فقد كانت غير محبذة ولا ينصح بهاء وكان الموظفون يقومون بإعادة تلك 
الأجهزة إلى إدارة تقنية المعلومات بعد رحيلهم. 

إن الاستخدام الشخصي للموظفين للهواتف الذكية والأجهزة اللوحية هذه الأيام قد 
يشير بعض القضايا المتعلقة بحوكمة تقنية المعلومات. فعلى سيل المثال. تمتلك هذه 
الأجهزة غموما فيزة الكاميرا الرقمية المدمجة فيها.. وبالتأكيد يمكن أن بثر هذا الأمر مسألة 
أمنية على اعتبار أن الموظف يستطيع بسهولة التقاط صور لوثائق مهمة ومن ثم نقلها 
واستخدامها لأغراض غير مشروعة. فعلى الرغم من القوانين الصادرة والتي تمنع مثل تلك 
ا ممارسات» فإن المؤسسة ف الواقع لا تستطيع منع مثل تلك ال ممارسات المتعلقة بالتصوير 
الداخلي بالرغم من التصريحات السياسية القوية ضد أنشطة كهذه. وكذلك الأمر بالنسبة 
لأجهزة التخزين الصغيرة 1158 المستخدمة من قبل العديد أيضاء والتي هكن توصيلها بأحد 
أجهزة الشركة لأخذ معلومات هامة وحساسة. 

ترتبط العديد من المخاوف المتعلقة باستخدام الأجهزة المحمولة في أماكن العمل بالأمن 
المؤسسي. فال مؤسسة ستكون مضطرة للسماح لأشخاص أساسيين للقيام بالاتصال بشبكات 
البيانات والتي تعد جزءا من مسئوليات عملهم. فضلا عن أن هناك حاجة لتنصيب برامج 
الجدران النارية والبرامج المضادة للفيروسات والأدوات البرمجية لمراقبة الأمن على آي جهاز 
نقال سوف تُعطي له صلاحية الوصول للنظم الشبكية المؤسسية. ونظرا لكثرة أنواع الأجهزة 
الموجودة في المؤسسة واختلاف أنواعهاء فلن تستطيع ال مؤسسة ضبط عملية إصدار أجهزة 
كهذه. إلا أنها يجب أن تمتلك مجموعة من المعايير المثبتة واللازمة لضبط استخدام الأجهزة 
النقالة قبل السماح لها بالوصول إلى بيانات الشركة. 
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الشكل التوضيحي (3-) يعد مثالا على سياسة الشركة فيما يتعلق باستخدام الأجهزة 
المحمولة من قبل الموظفين وأصحاب المصالح في بيئات العمل. يجب أن يتم إبلاغ جميع 
الموظفين الجدد بمثل هذه السياسة إلى جانب مطالبتهم بقبولها بشكل رسمي. ولأن التقنية 
عليه غدا. لذلك فإن هذا النوع من بيان السياسة يجب أن يُعدل ويُعاد إصداره بشكل دوري 
ومنتظم مع ضرورة مطالبة المتلقين لتلك السياسة بالإقصاح عن فهمهم وقبولهم لتلك السياسة 
المنقحة. يجب أن تستخدم العناصر الأساسية في هذه السياسة الخاصة بالأجهزة المحمولة من 
قبل الإدارة والتدقيق الداخلي على أنها جزء من مراجعاتهم المنتظمة للرقابة الداخلية. 
شكل توضيحي (۳-۹) 
سياسة استخدام الموظفين وغيرهم من أصحاب المصالح للأجهزة المحمولة 

مقدمة: إن استخدام الأجهزة المحمولة في بيئات عمل شركتنا في ازدياد. وهي تقدم خدمات الأجهزة 

النقالة ا الممستمر بالأجهزة | النقالة ا و اة 1 الأجهزة المحمولة تكون : غالبا 

جهاز ha (USB‏ الذكية والحاسبات اللوحية Ek‏ من الكاميرات. 

الغرض والنطاق: تضع هذه السياسة الأمنية قواعد تتعلق بالاستخدام الصحيح للأجهزة المحمولة 

في جميع أنحاء الشركةء وذلك من أجل حماية سرية البيانات الحساسة. وسلامة كل من البيانات 

والتطبيقات: وإتاحة خدمات شركتنا. إن هذا من شأنه أن يحمي الأجهزة المحمولة ومستخدميها 

بالإضافة إلى أصول الشركة (سريتها وسلامتها) واستمرارية الأعمال (إتاحتها). 

وتطبق هذه السياسة على جميع ا موظفينء والاستشاريين: والموردين: والمقاولين والطلاب وغيرهم ممن 

يستخدمون الأجهزة المحمولة النقالة الخاصة أو ال مرتبطة بالأعمال داخل أي مبنى من مباني شركتنا. 


إن الالتزام بهذه المتطلبات وبالسياسات الأمنية المنبثقة منها والأحكام التنفيذية يعد أمرا ملزماً في جميع 
أنحاء شركتنا وفروعها وغالبية ممتلكاتها. و يعتبر التعدي المقصود على هذه السياسات أو الإهمال فيها 
تهديدا مصالح شركتنا وسيؤدي إلى عقوبات صارمة وظيفية كانت أو قانونية أو كليهما وستطبق انها 
هذه الشروط والسياسات الأمنية المنبثقة منها والأحكام التنفيذية على جميع الموردين التابعين لشركتنا. 





دليل المسئول التنفيذي لحوكمة تقنية ا معلومات ۳۹١‏ 


الفصل التاسع 


الأدوار والمسؤوليات: إن جميع الموظفين وأصحاب امصالح مسؤولون عن التقيد بهذه الأحكام 
الأمنية. وقد تم توثيق المهام المحددة عند تعريف الأدوارء ويجب تحديد شخص بالاسم لكل دور من 
هذه الأدوار وأن يكون معروفا بالنسبة لادارة أمن تقنية المعلومات. 


المسؤوليات اللتعلقة بحوكمة تقنية المعلومات: 
٠»‏ أصحاب وحدات الأعمال: ضمان تزويد إذارة تقنية المعلومات بالمصادر الضرورية. 
« إدارة تقنية المعلومات: المحافظة على السياسات الأمنية: 
- مسؤولة عن إيجاد سياسات أو تبني السياسات المعمول بها وصيانتها يلواكبة العصر. 


- تُطبق التوجيهات والإجراءات اللازمة لتنفيذ هذه السياسة وتقوم بتبليغها للأشخاص المعنيين. 


- تضمن أن جميع الإجراءات القابلة للتطبيق موثقة وتم إيصالها بشكل جيد. 


- مسؤولة عن فرض السياسة وضمان أن المستخدمين قد تلقوا التدريبات الطلائمة. 
٠‏ إدارة أمن تقنية ا معلومات: مسئولة عن إدارة جميع الأحهزة ا لمحمولة النقالة التى يتم إصدارها: 
- تقوم بإدارة مستودع الأجهزة المحمولة المسجلة. 


- تضمن أن الخدمات الضرورية متاحة للمستخدمين وتقوم بتقديم اموارد الضرورية لاستخدام 
تلك الخدمات. 


- مسؤولة عن فرض السياسة: 
© من خلال ضوابط العمل المئاسبة. 
© تقديم طلبات تتعلق بالتغيرات الضرورية في هذه السياسة لدعم حوكمة تقنية المعلومات. 


٠‏ المستخدمون وغيرهم من أصحاب المصالح: يجب على موظفي المؤسسة وأصحاب المصالح أن 
يقوموا بقراءة هذه السياسات الأمنية وفهمها والموافقة عليهاء و یجب عليهم أيضا إعلام إدارة تقنيك 
المعلومات با مخالفين لهذه السياسات الأمنية. 





1. SAS 70, “Service Auditors Reports,’ http://sas70.com/sas70_reports.html 
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الحوكمة وإدارة أمن تقنية المعلومات وإدارة الاستمرارية 


تعد العمليات الفعالة والخاصة بإدارة أمن تقنية المعلومات واستمراريتها من العناصر 
الهامة للحوكمة الشاملة لتقنية المعلومات المؤسسية. إن أمن تقنية المعلومات مصطلح 
واسع.: فهو يشير إلى العمليات والضوابط اللازمة لحماية كل من النظم والبيانات الخاصة 
بتقنية المعلومات بالإضافة إلى الأصول المادية في المؤسسة من مجموعة واسعة من التهديدات 
المحتملة. ففي عامنا اليوم القائم على الإنترنت» إضافة إلى المخاطر القادمة من أشخاص من 
جميع أنحاء العام رها يكونو مُولعين بالوصول غير المشروع للأنظمة ال مؤمنةء أصبحت قضية 
أمن تقنية المعلومات الآن تحظى بالاهتمام بل وتزايد الاهتمام بها أكثر من أي وقت مضى. 
لذا فإن المؤسسات تحتاج إلى تطبيق عمليات فعالة خاصة بأمن تقنية المعلومات للتحكم 
في أصول تقنية المعلومات الخاصة بها وضبطها. 

وعلى الرغم من أهمية عمليات الأمن الموضوعة لحماية الأصول الخاصة بتقنية المعلومات 
من الأشخاص غير المصرح لهم» ذإن عمليات التشغيل الخاصة بتقنية المعلومات أيضا تواجه 
تهديدات من مخاطر مثل: اندلاع حريق ف أحد المرافق» أو كوارث طبيعية» أو أعطال 
المحدات. وقد كان يعرف هذا المجال الخاص بال مخاوف المتعلقة مخاطر تقنية المعلومات 
بالتخطيط للتعافي من كوارث تقنية المعلومات عصتصصهام disaster recovery‏ 11 وذلك في 
الأيام الأولى لظهور تقنية المعلومات عندما كانت نظم الحاسبات المركزية 12121118126 
هي المهيمنة: أما اليوم فهي بشكل عام تسمى تخطيط استمرارية تقنية المعلومات 
continuity planning‏ '11. لذا يجب على المؤسسة امتلاك الموارد اللازمة لعمل 
النسخ الاحتياطية» سواء كانت لمعدات آم لبرمجيات» وذلك لاستمرار العمليات 
التشغيلية المنتظمة والمجدولة في حال حدث أي انقطاع غير طبيعي لها. 

يناقش هذا الفصل السؤال التالي: لماذا يعد وجود عمليات معمول بها لأمن واستمرارية 
تقنية المعلومات أمراً في غاية الأهمية بالنسبة للحوكمة الفعالة لتقنية المعلومات؟ تكون 
العمليات الفعالة لتخطيط أمن واستمرارية تقنية ا معلومات معقدة غالبا وتحتاج إلى 
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مهارات المتخصصين. لذا يجب على المدير الأول الذي يعمل على توجيه ومراجعة حالة 
جميع عمليات عوكمة تقنية المعلومات أن يتم بقدر معن من المعرفة الأساسية نوعا:ها 
لبعض الأدوات والإجراءات الفعالة المستخدمة في هذا المجال. ومع أن كلا من هذه الأدوات 
والإجراءات يعتبر من المجالات المتخصصة:. فإنها أيضا تعتبر من العناصر الهامة والضرورية 
للحوكمة الشاملة الفعالة لتقنية المعلومات في المؤسسة. 


أهمية البيئة الفعالة لأمن تقنية المعلومات: 

لقد تغير مفهوم أمن تقنية المعلومات كثيراً على مر السنين وأصبح أمراً أكثر تعقيدا. 
فبالعودة إلى عصر نظم الحاسبات المركزيةء كنا نعتقد أن أمن تقنية المعلومات لا يتعدى 
أنظمة بسيطة لكلمة المرور ووضع أقفال على أبواب مركز الحاسب. وقد كان من المهم 
في ذلك الوقت أن تكون أصول تلك النظم محمية ويتم عمل نسخ احتياطية لها بشكل 
متكرر. وكانت تقع مسئولية تلك العمليات على عاتق وحدة أو إدارة عمليات تشغيل 
تقنية المعلومات مع تدخل محدود من قبل الإدارة العامة. 

أما في هذه الأيام» وفي ظل تكرار النشرات الإخبارية حول تلك الأحداث المتعلقة بتقنية 
المعلومات كسرقة ملفات النظم الحاسوبية الخاصة بالبطاقات الائتمانيةء أو إفشاء ما هو 
من المفترض أن يكون ملفات لرسائل سرية خاصة بنظام الحاسبء أصبحت قضايا أمن 
تقنية ا معلومات مسألة هامة بالنسبة للعديد من أعضاء فريق تقنية المعلومات والإدارة 
العامة للمؤمسة: وغلى الرغم من أن قضية أمن تقنية المحلومات كانت دايا ومن الأياة 
الأولى مصدر قلقء فإن مجال المخاطر هذا أصبح مصدر قلق أكثر من ذلك بكثير في عا 
اليوم الذي يحوي كما هائلاً من اتصالات الإنترنت وكذلك الاعتماد المتزايد على إستراتيجيات 
الحوسبة السحابية. يكون التدقيق الداخلي والإدارة العليا في المؤسسات غالباً هم الأطراف 
المعنية بالقراءة عن الخروقات الخاصة بأمن تقنية المعلومات التي تحدث في مكان آخر 
وسؤال كل من المدير التنفيذي للمعلومات (010) Chief Information Officer‏ ومدıر‏ 
التدقيق الداخلي (لخب) Chief Audit Executive‏ ومدققي تقنية المعلومات حول 
المسائل المتعلقة بأمن تقنية المعلومات ق املؤسسة. ۰ 
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تعد المخاوف المتعلقة بأمن تقنية المعلومات من بين القضايا الرئيسية والهامة التي 
تؤثر في كل من الإدارة العامة وإدارة تقنية المعلومات. وللحصول على ضمانات كافية 
حول امتلاك أمن فعال لتقنية المعلومات: فإن المؤسسة بحاجة إلى تأسيس وبناء بيئة قوية 
ومدارة بشكل حيد لأمن تقنية المعلومات. وتعد هذه المهمة مسئولية إدارة عمليات 
تشغيل تقنية المعلومات وإدارة المؤسسة على جميع المستويات. فإدارة تقنية المعلومات 
تستطيع المساعدة في هذه العملية من خلال تطبيق ضوابط داخلية فعالة وسياسات 
وإجراءات أمنية قويةء وكذلك من خلال العمل مع جميع المستويات في المؤسسة لخلق 
بيئة أمنية فعالة. 

سوف يركز هذا الفصل على بناء بيئة فعالة لحوكمة أمن تقنية المعلومات وذلك من 
ثلاثة منظورات: المنظور الأول» هو أن هناك حاجة لوضع بعض المبادئ القوية الخاصة 
بأمن نظم تقنية المعلومات, مثل المبادئ التي تمت مناقشتها في الفصل الخامس من هذا 
الكتاب والذي يدور حول الكوبتء أو تطبيق معايير الأيزو المناسبة التي تناولنا الحديث 
عنها في الفصل السابع أيضا من هذا الكتاب. إذ يمكن أن تلعب هذه المبادئ دورا أساسيا 
في المساعدة على تأسيس بيئة فعالة لأمن تقنية المعلومات. 

أمافي ما يخص المنظور الثانيء فهناك حاجة ماسة لتأسيس أمن فعال للحيط تقنية 
المعلومات: وذلك ف أي عملية تقريبا من عملياث التشغيل الخاصة بتقنية المعلومات. 
فعلى الرغم من أن المخاطر التي كانت تواجه عمليات تشغيل الحاسب التي كانت تتم في 
مركز مغلق أيام الحاسبات المركزية أقل بكثير من المخاطر التي تواجه عمليات التشغيل 
اليوم» فإن المخاطر الأمنية تعد أكبر بكثير في البيئات الخاصة بالتجارة الإلكترونية المعتمدة 
على شبكة الإنترنت. وسنتحدث عن بعض الضوابط الأمنية الخاصة محيط تقنية المعلومات 
التي ينبغي أن تسهم في التحسين من عمليات حوكمة تقنية المعلومات في تلك المجالات. 

أما بالنسبة للمنظور الثالث» فسوف نناقش من خلاله أهمية وضع إستراتيجية أمنية 
فعالة على مستوى المؤسسة. تماما مثل مدونة قواعد السلوك للموظف التي تضع 
مجموعة من القواعد الرفيعة المستوى لجميع أصحاب المصلحة في المؤسسة. فالإستراتيجية 
الفعالة لأمن تقنية المعلومات هي التي تقوم بتأسيس بعض القواعد المتعلقة بأمن تقنية 
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الخلومات. RS A a‏ انرو ات SERE ical‏ 
جيد أن تسهم في تحسين العديد من الجوانب الخاصة بعمليات التشغيل ف المؤسسة. 
كما ينبغي على إدارة تقنية المعلومات أن تكون على دراية بأفضل أو أجود الممارسات 
الفعالة في هذا المجال: وأن تقوم باستخداء تلك الممارسات لتأسيس بيئة فعالة لأمن تقنية 

المعلومات. 


مبادئ أمن تقنية المعلومات في المؤسسة: المعايير الأمنية المتفق عليها: 

إن العديد من كبار المديرين اليوم على علم ها يعرف بالمبادئ المحاسبية المقبولة قبولا 
غاما General Accepted Accounting Principles (GAAP)‏ سواء كان ذلك من خلال 
أعمالهم الخاصة أو اتصالاتهم مع المديرين الماليين في المئؤسسة أو مع مدققيهم الخارجيين. 
وعلى الرغم من أنه استّبّدل اليومّ بتلك المبادئ (6847) معاي محاسبية دولية: فإنها تعد 
بمثابة قواعد غير رسمية تستخدم من قبل العديد من المديرين الماليين ومدققيهم الخارجيين 
لتقييم الممارسات المحاسبية في المؤسسة. ومن ثم القيام بإعداد القوائم المالية الخاصة بها. 
فهي ليست قواعد محددة على شكل نقاطء إنما هي عبارة عن مجموعة من الممارسات 
الجيدة والعامة التي استخدمت من قبل المدققين الخارجيين على مر السنين. 

با لوب فاق الماد اا ق شؤلا عاما تتقف6: قات الخد من 
إدارات تقنية المعلومات المؤسسية بتطبيق ما يعرف بمبادئ أمن النظم المقبولة قبولا عاما 
Generally Accepted System Security Principles (GASSP)‏ كمجموعة من أفضل 
الممارسات لتطوير عمليات ومعايير فعالة في أمن تقنية المعلومات. 6455۴ هي عبارة 
عن مجموعة متفق عليها من المبادئ والمعايير والأعراف والآليات المتعلقة بأمن تقنية 
المعلومات التي يجب أن توظف من قبل الممارسين لقضايا أمن تقنية ا معلومات» والتي 
يجب أن تحققها المخرجات الناتجة عن معالجة المعلومات» والتي يجب أن يقر بها أصحاب 
المعلومات لضمان أمن المعلومات وأمن نظم تقنية المعلومات الخاصة بهم. تتعلق 64558 
بأمن المعلومات المادية والتقنية والإدارية» كما تشتمل على مبادئ أمنية تفصيلية ووظيفية 
واسعة ومتعارف عليها. تشر 648558 إلى سلسلة من القواعد والإجراءات والممارسات 
التي تتعلق بتطبيق الممارسات الفعالة لأمن تقنية المعلومات في المؤسسة. ومن المتوقع 
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أن يتطور هذا المفهوم الخاص بمصطلح 64558 وفقا للتغيرات السريعة والمستمرة في 
التقنيات الخاصة بتقنية المعلومات. 

تعود أصول هذه المبادئ المقبولة قبولآً عاماً في أمن معلومات النظم 64558 إلى عام 
۰ عندما قام مجلس البحوث الوطني الأمريي بإصدار كتاب أحدث تحولا بارزا بعنوان 
"الحاسبات عرضة للمخاطر"'' computers at Risk )°٥CAR(‏ وقد ركز هذا الكتاب على 
أن الولايات المتحدة الأمريكية بحاجة ماسة إلى أن تركز اهتمامها بشكل أفضل على أمن 
المعلومات. وقد وجدت 68557 لتكون نتيجة مباشرة لإحدى التوصيات الرئيسية التي 
جات من نشر هذا الاي (6439) وقد دوعت ذلك التوضية إل تطوى :مجموعة شاملة من 
المبادئ المقبولة قبولا عاماً في أمن النظم والتي من شأنها أن تقدم تعريفاً واضحاً للسمات 
والضمانات وال ممارسات الأساسية الخاصة بأمن تقنية المعلومات. كما اقترح كتاب C٣۸۴‏ 
استخدام 68487 نموذجا يُقتدى به في وضع 4558 6): كما استشهد أيضا بالصياغة الخاصة 
بالقواعد والمعابير المستخدمة من قبل مختبرات ضمان المواصفات'' Underwriters‏ 
19 بأنها أمثلة على 64557 في مجالات أخرى. 


يعد الاتحاد الدولي لاعتماذ أمن نظم المعلومات''' International Information‏ 
Systems Security Certification Consortium (ISC)‏ من المنظمات المهنية الأخرى 
الرائدة في أمن تقنية ال معلومات والتي قامت بتطوير 64557 في نسخته الحالية (الإصدار 
الثاني 2.0 (Version‏ والتي نم إطلاقها في عام ۱۹۹۳ . وكما يدل عليها اسمهاء فهي عبارة 
عن المنادئ اللقبولة قبولا عاما أو المتعارف عليهاء الأمر الذي يعني أنها تس تخد المفاهيم 
الشائعة الاستخدام في وقتنا الحاضر لتأمين موارد تقنية ال معلومات. إن المبادئ التي جاءت في 
الدراسة الخاصة بمفهوم 6.8557 ليست جديدة بالنسبة للعاملين في أمن تقنية المعلومات؛ 
ولكنها اعتمدت على افتراضات ينبغي تقريباً على كل شخص تطبيقها عند القيام بتطوير 
أو صيانة نظام أمن تقنية المعلومات. لذا يجب على مدير المؤسسة التي تسعى إلى تعزيز 
العمليات الأمية لكون جوا جن العوكفة الفعالة فة المعلومات: أن نكون غل اة 
باد 68558 يوصقة مارا أو ألما لعزيز الأمن: الفعال لتقف ة الأسلومات. 
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المبادئ المتعارف عليها في أمن النظم والمقبولة عموماً 6455: 
ترتكز 08557 على ثمانية مبادئ رفيعة المستوى يمكن أن تستخدم من قبل الإدارة 

وأخصائيي أمن تقنية ات ااا أو قاعدة ليقوموا ببناء برامجهم المتعلقة بأمن 

تقنية المعلومات عليها. وتهدف هذه المبادئ لأن تكون بمثابة دليل أمني يمكن استخدامه 
عند إنشاء نظم أو متمارسات أو سياسات جديدة. فهي م تصمم لإعطاء إجابات محددة 
بل يجب تطبيقها جملة واحدة وبشكل عملي ومعقول. وفيما ياي توضيح لكل من هذه 

المبادئ الثمانية الخاصة مفهوم 64557. 

.١‏ يجب على أمن تقنية المعلومات دعم رسالة المؤسسة: إن الغرض من أمن تقنية 
المعلومات هو حماية الموارد القيّمة في المؤسسة كال معلومات وال معدات والبرمجيات. 
فمن خلال اختيار وتطبيق وسائل الحماية المناسبة» يمكن للأمن أن يساعد اللؤسسة 
على تحقيق رسالتهاء وذلك من خلال حماية مواردها المادية واطالية وسمعتها ووضعها 
القانوني وموظفيها وغيرها من الأصول الملموسة وغير الملموسة. وللأسف فإنه ينظر 
لأمن تقنية المعلومات في بعض الأحيان على أنه عائق في طريق تحقيق رسالة ايمؤسسةء 
وذلك من خلال فرض القواعد والإجراءات المزْهقة التي يتم اختيارها بشكل سين على 
المستخدمين والمديرين والنظم. ونتيجة لذلك فإنه يجب على إذارة تقنية المعلومات أن 
تكون على علم بأن القواعد والإجراءات الأمنية التي تم اختيارها بعناية م توضع لحماية 
مصالحهم الخاصة: وإنما وضعت موضع التنفيذ لحماية الأصول الهامة ودعم الرسالة 
التنظيمية الشاملة للمؤسسة. 
ولذلك فالأمن يعد وسيلة للوصول إلى الغاية وليس غاية في حد ذاته. فعلى سبيل اللثال؛ 

يكون للممارسات أو الإجراءات الأمنية المستخدمة عادة دور ثانوي في عملية تحقيق الأرباح 

المؤسسية التي هي الهدف الرئيسي لأي مؤسسة. لكن يجب بعد ذلك أن يكون للأمن دور 
رئيسي في زيادة قدرة المؤسسة على تحقيق الأرباح. أما في مؤسسات القطاع العام فيلعب 
الأمن عادة دورا ثانويا فيما يتعلق بالخدمات التي تقدمها المؤسسة للمواطنينء إلا أنه 
يتوجب عا الأمن قيما بعد أن يلعب دورا أساسيا في تحسين هذه الخدمات العامة. لذلك 
فإن المديرين وأخصائيي الأمن بحاجة إلى فهم كل من الرسالة الشاملة للمؤسسة والكيفية 
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التي يمكن من خلالها أن يقوم كل نظام من نظم تقنية المعلومات بدعم تلك الرسالة. وبعد 
أن يتم تحديد أدوار تلك النظم يمكن الإعلان صراحة عن تلك المتطلبات الأمنية الخاصة 
نرسالة اراؤسينة. 


". أمن تقنية المعلومات جزءً لا يتجزأ من الممارسات الإدارية الصحيحة: تكون نظم تقنية 
المعلومات غالباً من الأصول الهامة التي تدعم رسالة المؤسسة. لذا فحماية تلك الأصول 
أمر لا يقل أهمية عن حماية الموارد الأخرىء مثل الأموال أو الأصول المادية أو الموظفين. 
من ناحية أخرىء فإن تضمين الاعتبارات الأمنية في إدارة نظم المعلومات وإدارة نظم 
تقنية المعلومات لا يستبعد بشكل كامل احتمالية أن يتم الإضرار بهذه الأصول. في 
النهاية. يجب على الإدارة أن تقرر ما مستوى المخاطر المستعدة لقبولهاء مع الأخذ في 
الحسبان تكلفة الضوابط الأمنية. 
كما هو الحال مع غيرها من المواردء فإن إدارة نظم المعلومات وإدارة نظم تقنية المعلومات 

قد تتجاوز الحدود التنظيمية. فعندما تكون نظم معلومات ونظم تقنية ا معلومات الخاصة 

بالمؤسسه مرتبطة بنظم خارجية؛ فإن مسؤوليات الإدارة ستمتد لتتجاوز حدود ال مؤسسة: وإن 
كلا من الإذارة وإذارة تدقيق تقنية المعلومات يجب أن يعرقوا ها مستويات أو أنواع الأمن 
التي يتم توظيفها على تلك النظم الخارجيةء كما يجب أن يسعوا للحصول على ضمانات بأن 

النظام الخارجي يوفر الأمن الكافي لاحتياجات اممؤسسة التابعين لها. 

۴. أمن تقنية المعلومات يجب أن يكون فعالا من حيث التكلفة: يعد هذا الأمر من 
المبادئ الهامة لحوكمة تقنية المعلومات. وعليه فإنه يجب عمل دراسة للتكاليف 
والفوائد الخاصة بأمن تقنية المعلومات بعنايةء سواء من الناحية المالية آم غير المالية 
للتأكد من أن تكلفة الضوابط لن تزيد عن الفوائد المتوقعة. فأمن تقنية المعلومات 
يجب أن يكون ملانما ومتناسباً مع قيمة ودرجة الاعتماد على نظم تقنية ا معلومات 
وكذلك مع شدة واحتمالية ومدى الضرر المحتمل. كما أن المتطلبات الأمنية تتنوع 
اعتمادا على النظام المحدد لتقنية المعلومات. 
يجب أن يُنظر لأمن تقنية المعلومات على أنه أحد الممارسات الذكية للأعمال. وآن 

الاستثمار الجيد في التدابير الأمنية للمؤسسة هكن أن يساعد في التقليل من تكرار وشدة 
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الخسائر المتعلقة بأمن تقنية المعلومات. فعلى سبيل ال مثالء قد تقدر المؤسسة أنها تعاني 

من خسائر سنوية كبيرة في المخزون من خلال المعاملات الاحتيالية التي تتم في نظام تقنية 

المعلومات الخاص هراقبة المخزون لديها. فباستخدام التدابير والإجراءات الأمنية المناسبة 
كالنظام المطور الخاص بضبط عمليات الوصول للبيانات» قد يسهم بشكل كبير في التقليل 
من هذه الخسائر. علاوة على ذلكء فإن البرنامج الأمني السليم يمكنه إحباط محاولات 

القراصنة 1131615 والتقليل من تكرار الإصابة بالفيروسات. 
للفوائد الأمنية تكاليف مباشرة وغير مباشرة. حيث تشتمل التكاليف المباشرة على شراء 

وتركيب وإدارة التدابير والإجراءات الأمنية. كبرامج ضبط الوصول إلى البيانات أو النظم 

المستخدمة لإخماد الحرائق في مرافق المؤسسة. هذا بالإضافة إلى أن استخدام التدابير 
والإجراءات الأمنية قد يؤثر في بعض الأحيان ف أداء النظم وفي معنويات الموظفين وحتى 
في المتطلبات الخاصة بإعادة التدريب. فكل هذه الأمور يجب أن تؤخذ بعين الاعتبار 
بالإضافة إلى التكلفة الأساسية الخاصة بالضوابط الأمنية لتقنية المعلومات نفسها. في كثير 
من الحالات» كما هو الحال بالنسبة لتكاليف إدارة حزمة ضبط الوصول للبيانات» مكن 
لهذه التكاليف الإضافية أن تتجاوز التكاليف المبدئية المخصصة للضوابط الأمنية. لذا 
يجب عدم اختيار الحلول الأمنية إذا كانت تكلفتها من الناحية المالية أو غير المالية أو 

المباشرة أو غير المباشرة ببساطة أكبر من تكلفة تحمل المشكلة. 

.٤‏ لدى أصحاب النظم مسؤوليات أمنية خارج مؤسساتهم: إذا كان للنظام مستخدمون 
من خارج المؤسسة: فإنه يقع على عاتق أصحاب هذا النظام مسؤولية مشاركة هؤلاء 
المستخدمين بالمعلومات المناسبة والضرورية المتعلقة بالتدابير الأمنية المستخدمة ومدى 
النطاق العام لهاء الأمر الذي يزيد مستوى الثقة لدى هؤلاء الس تخدفين بأن نظامهم 
أعن بشكل كاف. ولا يعني هذا أنه يجب على جميع النظم تحقيق المستوى الأدنى من 
أمن اممعلومات» وإنما يعني أنه يجب على أصحاب النظم إبلاغ عملائهم أو مستخدميهم 
بطبيعة وآلية أمن المعلومات المستخدمة لديهم. 
إن الاختلاف ين ال وة والمسادلة المضلقة رامن وة المحلوهات لسن واقها دائا. 

بشكل عام نستطيع القول إن "المسؤولية" هي مصطلح أوسع يحدد الواجبات والسلوكيات 
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المتوقعة. إذ يدل مصطلح المسؤولية على الموقف الاستباقي من جانب الطرف المسؤول؛ 

وعلى العلاقة السببية بين الطرف المسؤول ونتيجة محددة. في حين يشير مصطلح "المساءلة" 

بشكل عام إلى قدرة تحمل الأشخاص لمسؤولية أفعالهم. لذلك قد يكون الأشخاص مسؤولين 

عن أفعالهم دون أن يتعرضوا للمحاسبة القانونية عنها. على سبيل المثالء المستخدم المجهول 
الهوية الذي يقوم باس تخدام أحد النظم يكون مسئولا أن يتصرف وفقاً للمعايير المقبولة 
والمتفق عليهاء إلا آنه لا يكن مساءلته إذا قام بأي انتهاك للبيانات أو النظم» إذ لا يمكن 

تتبع العمل المتسبب في الانتهاك الأمني الذي يقوم به شخص ما. 
يدل هذا المفهوم ضمنياً على أن الناس والمؤسسات يتشاركون في المسؤوليات وا مساءلات 

المتعلقة بنظم تقنية المعلومات الخاصة بهم. فبالإضافة إلى مشاركة المعلومات المتعلقة 

بالأمن» يجب على مديري المؤسسات أن يتصرفوا في الوقت المناسب ويتخذوا الإجراء 
المناسب ملنع الخروقات الأمنية والرد عليها لمساعدة الآخرين وحمايتهم من الضرر. فضلا 

عن أن اتخاذ مثل هذا الإجراء يجب ألا يُعرض أمن النظم للخطر. 

0. المسؤوليات والمساءلات الخاصة بأمن تقنية المعلومات يجب أن تتم بشكل صريح: 
يجب أن تكون المسؤوليات والمساءلات الأمنية واضحة وصريحة. سواء أكانت تخص 
أصحاب ومقدمي ومستخدمي نظم تقنية المعلومات أم غيرهم من الأطراف المعنية 
بأمن نظم تقنية المعلومات. وقد يكون نطاق هذه المسؤوليات داخل المؤسسة أو خارج 
حدودها. حتى وإن كانت مؤسسة صغيرة فإنه يجب أن تقوم بإعداد الوثائق التي تحدد 
السياسات الأمنية والمسئوليات الواضحة لأمن تقنية المعلومات للمؤسسة. على كل حالء 
فلا يُقصد بهذا المفهوم وجوب مساءلات الفرد عن جميع النظم. فعلى سبيل ال مثالء لا 
تسأل العديد من نظم نشر المعلومات عن هوية المستخدم ولا تستخدم أيا من الوسائل 
التقنية الأخرى لتحديد هويته» ومن ثم لا يمكنها مساءلة المستخدمين. 

5. أمن تقنية المعلومات يتطلب نهجا شاملا ومتكاملا: إن توفير أمن فعال لتقنية 
المعلومات يتطلب استخدام نهج شامل يأخذ بعين الاعتبار مجموعة متنوعة من 
المجالات الموجودة داخل وخارج مجال أمن تقنية ال معلومات؛ وتمتد طوال دورة حياة 
نظم المعلومات بالكامل. ولكي تعمل الضوابط الأمنية بفاعليةء فإنها تعتمد غالبا على 
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التوظيف السليم للضوابط الأخرىء إذ هناك العديد من الاعتمادات المتبادلة فيما بينها. 
فإذا تم اختيار الضوابط الإدارية والتشغيلية والتقنية بشكل سليم فيمكنها أن تعمل 
معا بصورة تعاونية. من ناحية اخرىء فإن عدم فهم المؤسسة للاعتمادات المتبادلة 
للضوابط الأمنية: قد يُضعف بعضها بعضاً. فعلى سبيل المثال» عدم تلقي التدريب 
المناسب المتعلق بطريقة وزمن استخدام حزم برامج الكشف عن الفيروسات قد يجعل 
المستخدمين يطبقون هذه الحزم بشكل خاطئء ومن ثم يُصبح استخدام تلك الحزم غير 
فعال. ونتيجة لذلك قد يعتقد المستخدمون خطأ أنه إذا تم فحص النظام لمره واحدة 
فقط: فاته سيكون داثماً خاليا من الفروسات» ونتيجة لذلك الاعتقاد الخاطئ رما تنتشر 
الفيروسات بشكل غير مقصود. ف الواقعء تكون تلك الاعتمادات المتبادلة أكثر تعقيدا 
ومن الصعب جدا التحقق منها. 
تعتمد فاعلية الضوابط الأمنية أيضا على عوامل مثل إدارة النظم» والقضايا القانونية. 
وضمان الجودة. والضوابظ الداخلية والإذارية.. كما يحتاج أمن تقنية ابمعلومات أيضا 
إلى العمل مع الإدارات الأمنية التقليدية في المئؤسسة متضمنة وحدات أمن الممتلكات 
والأفراد. كما يوجد العديد من الاعتمادات المتبادلة الأخرى الهامة التي تكون عادة 
فريدة بالنسبة لبيئة المؤسسة أو بيئة النظام. لذا يجب على المديرين أن يدركوا كيف 
يرتبط أمن تقنية المعلومات مع المجالات الأخرى للنظم وكيف يرتبط أيضا مع إدارة 
اا 
۷. يجب إعادة تقييم أمن تقنية المعلومات بشكل دوري: تمتاز نظم تقنية ال معلومات 
والبيئنات التي تعمل فيها بأنها متغيرة. أي أن تقنية ومستخدمي النظام» والبيانات 
والمعلومات داخل النظام والمخاطر المرتبطة بالنظام» والمتطلبات الأمنية جميعها دائمة 
التغير. وهناك عدة أنواع من التغيرات التى مكن أن تؤثر في آمن النظم» تشمل التطورات 
التقنية» والتغيرات في قيمة أو استخدام المعلومات وظهور تهديدات جديدة. أضف إلى 
ذلك: أنه .لم يتم اختبار الأمن وم يكن مكتملا عند تطبيق النظام. ويتمكن مس تخدهو 
ومشغلو النظام غالبا من اكتشاف أساليب جديدة لتجاوز أو تقويض الأمن: سواء كان 
ذلك بقصد أم بدون قصد. فالتغيرات التي تطرأ على أحد نظم تقنية المعلومات أو البيئة 
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التشغيلية الخاصة به يمكن أن تتسبب في إيجاد ثغرات أمنية جديدة. كما أن الالتزام 
والتقيد الصارم بالإجراءات الأمنية أمرٌ نادر جداء بل إن هذه الإجراءات تصبح قدهة 
ممرور الوقت,ء الأمر الذي يجعل من الضروري إعادة د تقييم أمن نظم تقنية ال معلومات 
بشكل دوري. 

۸. أمن تقنية المعلومات مقيد بعوامل اجتماعية: قد تكون قدرة أمن تقنية المعلومات 
على دعم رسالة المؤسسة محدودة ومقيدة بعوامل مثل القضايا الاجتماعيةء فقد 
يحدث تعارض بين الأمن وخصوصية مكان العمل. فعلى سبيل ال مثال» يتم تطبيق 
أمن نظم تقنية المعلومات غالبا من خلال تحديد المستخدمين ومتابعة أعمالهم 
التي يقومون بها. من ناحية أخرىء تتنوع توقعات الخصوصية كما يمكن أن يتم 
انتهاكها من خلال بعض التدابير الأمنية. ومع أن الخصوصية تعد قضية اجتماعية في 
غاية الأهميةء فإنها ليست المسألة الوحيدة المهمة. فتدفق المعلومات» وخاصة بين 
الحكومة ومواطنيهاء تعتبر حالة آخرى قد تحتاج الإجراءات الأمنية فيها إلى بعض 
التعديلات لدعم الهدف المجتمعي. هذا بالإضافة إلى أن بعض التدابير المستخدمة 
للتحقق من صلاحيات مستخدمي النظم يمكن اعتبارها اختراقات للخصوصية في بعض 
السريئات والثقافات. 


لذلك يجب أن يتم تحديد الإجراءات الأمنية وتنفيذها في ظل الاعتراف بحقوق 
الآخرين ومصالحهم المشروعة. وقد يتطلب ذلك تحقيق مزيد من التوازن بين الاحتياجات 
الأمنية لأصحاب ب الاخلومات والمستخدمين وبين الأهداف المجتمعية. فضلا عن أن القواعد 
والتوقعات تتغير إزاء الاستخدام الملائم للضوابط الأمنية. وهذه التغيرات إما أن تزيد أو 
تقلل من الأمن. وليس بالضرورة أن تكون العلاقة بين المعايير الأمنية وا مجتمعية علاقة 
عدائية. فالأمن يستطيع آن يعزز الوصول إلى البيانات وا معلومات وتدفقها من خلال 
توفير معلومات أكثر دقة وموثوقية وإتاحة أكبر للنظم. كما يمستطيع الأمن أيضا زيادة 
الخصوصية الممنوحة للفرد أو المساعدة على تحقيق أهداف مجتمعية أخرق تم وضعها 
من قبل المجتمع. 
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تطبيق المبادئ الأمنية في إدارة تقنية المعلومات: 

على الرغم من أن مبادئ 648557 الثمانية ليست حتمية» فإنها تلخص الإطار العام الذي 
يجب أن يكون أساسا للعديد من الجوانب للأمن والحوكمة الرشيدة لتقنية المعلومات. إن 
تجاوز تلك المبادئ يفرض على وحدة أمن تقنية المعلومات في المؤسسة إعادة التفكير ببعض 
الممارسات والإجراءات المتبعة حاليا لإعادة تنظيمها بشكل يضمن تبني مبادئ 8558 6. 
يوضح الشكل التوضيحي )١-١١(‏ الدور الهام الذي تلعبه المبادئ الأمنية الرفيعة ا لمستوى 
مثل 68557 في ا مؤسسة» مع إيلاء الاهتمام بمنتجاتها التقنية المثبتة وغيرها من العوامل. 
وعلى الرغم من وجود العديد من الطرق لتطبيق تلك المبادئ الأمنية» فإنه ينبغي على إدارة 
تقنية المعلومات ألا تفقد المسار الذي قامت عليه 645578 حيث قامت على بعض المبادئ 
العريضة والقوية في آمن تقنية المعلومات. وتتناول هذه المبادئ الواسعة الانتشار خصائص 
سريةء وسلامةء وتوافر المعلومات الخاصة بأمن بتقنية المعلومات. كما توفر تلك المبادئ 
إرشادات عامة للحوكمة لإنشاء وصيانة أمن المعلومات. 


سوف نتحدث عن النقاط الموضحة في الشكل التوضيحي )١1-١١(‏ لكي نصف بإيجاز بعض 
العناصر الرئيسية الخاصة مبادئ 68557 وكيفية ارتباط بعضها ببعض وبالبيئة الشاملة 
لأمن تقنية المعلومات. وقد تختلف أي من هذه المجالات أو النقاط المذكورة حسب 
المئؤسسة وحجمها وموطنها. وسنبدأ من مركز الشكل حيث المعايير الأمنية وغيرها من 
الآليات» صعودا إلى الدليل المعرفي 12001916086 اه “804 ثم نسير باتجاه عقارب الساعة 

حول العوامل الأخرى الضرورية لتشكيل بيئة أمنية فعالة باستخدام مبادئ 4557 6. 

٠‏ معايير وآليات الأمن: نواة أى بيئة أمنية فعالة عبارة عن مجموعة من المعاييرء والآليات» 
والممارسات» والاتفاقيات الأمنية القوية التي تخص مؤسسة ما. وهذه هي أنواع القضايا 
التي تمت مناقشتها خلال فصول هذا الكتاب باعتبارها عمليات رقابية عامة فعالة 
لحوكمة تقنية ال معلومات. 


الحوكمة وإدارة أمن تقنية المعلومات وإدارة الاستمرارية 


شكل توضيحي )١-١١(‏ 


دور المبادئ رفيعة المستوى لأمن تقنية المعلومات في المؤسسة 





أ | 


ه الدليل المعرفي لمبادئ 64557: لقد قمنا هنا بتلخيص مبادئ 6۸458۴ إلا أنه يتوجب 
على شريحة كبيرة ومختلفة من الأشخاص الذين يعملون في المؤسسة فهم تلك المبادئ 
العامة. كما يجب عليهم أن يُظهروا التزامهم بفهم وتنفيذ تلك المبادئ بشكل منتظم. 
الفكرة هنا هي أنه ظل وجود آي استفسار يضاق دبعض الممارسات الخاطة بان مقتية 
المعلومات: يتعين على إدارة تقنية المعلومات في المؤسسة في هذه الحالة الرجوع إلى هذه 
المبادئ العامة لتساعدها في تفسير وحل أي قضية من القضايا التي تواجهها. 

٠‏ القوانين والتنظيمات التوجيهية: تخضع كل مؤسسة لمجموعة متنوعة وفي الغالب مختلفة 
من القوانين واللوائح التنظيمية. وخيرٌ مثال على ذلك هنا هو أننا نستطيع أن نلاحظ 


دليل المسئول التنفيذي لحوكمة تقنية المعلومات ro‏ 


الفصل العاشر 


الاختلاف الكبير بين قوانين الخصوصية الشخصية من بلد إلى آخر. لذا يجب أن تفسر مبادئ 
084558 دانم اعتماداً على هذه القوانين والقواعد المختلفة والمتغيرة في بعض الأوقات. 

٠‏ الموارد المهنية للمنظمة: تقوم المنظمات المهنية مثل .15404 و ۸1٤٥۴۸‏ بانتظام بإصدار 
مجموعة من الإرشادات والمعايير التي تضيف المزيد من المتطلبات الجديدة على أساليب 
أمن تقنية المعلومات أو تغير من تلك الأساليب. لذا يجب على المؤسسة الإلمام بمثل هذه 
الأمور ثم تقوم بعمل التغيرات المطلوبة على بيئة أمن تقنية المعلومات الخاصة بها ا 
يتفق مع هذه الإرشادات وال معايير الجديدة. 

٠‏ منتجات البنية التحتية والأمنية لتقنية المعلومات: هناك مجموعة متنوعة وواسعة من 
تطبيقات ومنتجات البنية التحتية لتقنية المعلومات التي تستطيع أن تساعد في عملية 
توجيه أو تعديل الأساليس الخاصة بأمن تقنية المعلومات. فينما لا يجب على اللؤسسة 
أن تقوم بتثبيت المنتجات التي تعاني قصورا في هذه المبادئ الأمنيةء نجد أنه من الضروري 
أن تكون المؤسسة على علم بأي خصائص جديدة وفريدة للمنتجات التي تم تثبيتها 
وإجراء التعديلات المناسبة على الممارسات الأخرى لأمن تقنية المعلومات. 

٠‏ مجلس البادئ الأمنية الخاص بمبادئ 8557.©: عندما تقوم المؤسسة باعتماد مبادئ 


7 » فهي بحاجة إلى تكليف بعض الأشخاص الموثوقين ليقوموا بتفسير عمليات 
تطبيق مبادئ 68558 بصورة سليمة. وقد يآتي الأشخاص المناسبون لهذه المهمة 
من وحدة أمن تقنية المعلومات, أو من مجموعة ضمان الجودة: أو ممثل عن إحدى 
الوحدات مثل وحدة التدقيق الداخلي لتقنية المعلومات. وعلى الرغم من أنه قد لا يكون 
أحد من هذه المجموعة خبيرا مبادئ 4557 6). فإن الفكرة هي تعيين شخص مسئول عن 
فهم تلك المبادئ يستطيع تفسيرها اعتماداً على الاستفسارات المطروحة ويمكن أن يكون 
الحكم إذا تطلب الأمر ذلك. 

٠‏ الموارد الرسمية والاستشارية: على الرغم من أنه قد جرت العادة بعدم بيع الخدمات 
الاستشاريةء فإنه يجب على المؤسسة أن تكون على ارتباط وثيق بمنظمات مهنية مثل 
4 و150 للاطلاع على آخر التعديلات والمواد التفسيرية الأخرى التي طرأت على 
صسادئ 4855 . 
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٠‏ التدريب والتوعية: لن تكون هناك أي قيمة حقيقية تذكر لتطبيق مبادئ 64557 في 
المؤسسة مالم يكن هناك تدريب لمجموعة رئيسية من أصحاب المصلحة في هذه اممؤسسة 
على تلك المبادئ. لذا يجب على مطوري النظم على وجه الخصوص أن يفهموا هذه 
المنادف حندا ويستخدموها عند إطلاق التظبيقات الآمنة والفحالة المؤسسة: 

٠‏ الشهادات والاختبارات: لا يوجد إلى الآن برامج خاصة بشهادات أو اختبارات لمبادئ 
37. غير أن مثل هذه البرامج قد يتم تطويرها في المستقبل. 


ومع أن مبادئ 64558 م تلق إلى الآن مستوى واسعا من القبول من قبل المؤسسات في 
الولايات ا متحدةء ففي ظل التغيرات المستمرة والتقدم التكنولوجي العالمي الموجود اليوم: 
بالإضافة إلى اللخاوف المتزايدة لأمن تقنية المعلومات. توفر هذه المبادئ أساسا هاما أو إطار 
عمل للنظر في آمن تقنية المعلومات وتقييمه. لذا يجب على كبار المديرين الذين يبحثون 
عن طرق لإيجاد إجراءات فعالة لأمن وحوكمة تقنية المعلومات, أن ينظروا إلى تلك المبادئ 
على أنها نقطة بداية لتحقيق الهدف المرجو. 
أهمية الإستراتيجية الأمنية الفعالة على مستوى المؤسسة: 

من الممكن أن تكون هناك قيمة معتبرة نتيجة تبني مجموعة عريضة من المبادئ الأمنية 
مثل مبادئ 64557 إلا أن المؤسسة بحاجة أيضاً إلى تبني وتطبيق إستراتجية شاملة لأمن 
تقنية المعلومات. إن الأمن في عام اليوم الإلكتروني والمرتكز على تقنية المعلومات يشتمل 
على هياكل معقدة وتقنيات تظهر وتتطور بشكل مستمر. ولكي نضمن أن المؤسسة قد 
قامت بإنشاء مستويات مناسبة من أمن تقنية المعلومات» ينبغي عليها أن تفكر في استخدام 
موذج أمني من أعلى لأسفل 1(0102-م10' لتحديد وتقييم أصولها الأمنية. فباستخدام مثل 
هذا النهج الأمني من أعلى لأسفلء. تستطيع الإدارة أن تدرك بشكل أفضل مدى خطورة 
القضايا الخاصة بأمن تقنية المعلومات» ومن ثم الشروع بتطبيق العمليات التي تتبلور في 
الأسفل والموجودة لدى فريق عمليات التشغيل. وهذا يختلف عن النهج الذي يتبع نهجا 
من أسفل إلى أعلى وا 801103 حيث يقوم فريق تشغيلي أقل درجة ببدء العملية ومن 
ثم يقوم بنشر نتائجه صعودا نحو الإدارة على شكل توصيات للسياسة المقترحة. 
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الفصل العاشر 


يقدم الشكل التوضيحى ا بيطا ی م النموذج الأمني من أعلى إلى 
أسفل 100878-م10. وستوضح الفقرات التالية عناصر هذا المفهوم بمزيد من التفصيل. 
وعليه فإنه يجب تطبيق البنية التحتية لأمن تقنية تقنية المعلومات بشكل متساو على الوصلات 
الشيكية الموجودة ف والوصلات الجديدة للمبادرةء بعد ذلك يجب عنيالة الشبكة 
الخاصة بالمنظمة بناء على المخاطر التي تمثلها تلك الشبكة للمنظمة. 


االستوى الأعلى من النموذج الموجود في الشكل التوضيحى )١-١٠١(‏ يدعو إلى سياسات 
أمنية فعالة. ومع أن الأمر قد يبدو في بعض الأحيان وكأنه 1 للغاية: فإنه ينبغي على 
المدير الأول الذي يقوم بمراجعة الضوابط الموجودة في البيئة الأمنية لتقنية المعلومات أن 
يقوم بداية بتعهد فهم السياسات الأمنية الحالية لتقنية المعلومات في المؤسسة. وعلى 
الرغم من أن هذه السياسات تكون في العادة رفيعة المستوىء فإن أي مجموعة سياسات 
كهذه يجب أن تغطي الجوانب الأمنية كافة لتقنية المعلومات. وربما يكفي أن نذكر أن 
السياسات الأمنية لتقنية المعلومات ف المؤسسة سوف تستند إلى المبادئ الخاصة بمعايير 
الايزو التي تمت مناقشتها في الفصل السابع من هذا الكتاب وكذلك مبادئ كوبت التي تمت 
مناقشتها في الفصل الخامس من هذا الكتاب. 

ويجب أن تكون هذه الإستراتيجيات الأمنية مدعومة معايير أمنية تفصيلية تشمل 
عمليات تنفيذ مراقبة النظم» وتهيئة النظام للعمل كخادم تطبيقات أو خادم ويبء أو 
تهيئة الجدران النارية لفصل النظم ووضعها في مناطق محددة. كما يجب أن تكون هذه 
المعايير خاصة بكل من التطبيقات ونظم التشغيلء وآن تكون مفصلة على نحو كاف لتُمكن 
المستخدم صاحب ال معرفة من القيام بتنفيذ أبرز النشاطات ال موجودة في حف ااا أو 
تمكنه من تهيئة النظام أو التطبيق. :وآخيرا يجب على هذه المعايير أن تحدد الخطوات التي 
يجب اتخاذهاء مثل الموافقة: في حال كان الإخلال بهذه المعايير أمراً ضروريا. 

علينا أن نفكر في العمليات التشغيلية لأمن تقنية المعلومات باعتبارها سلسلة من 
مناطق الثقة. بمعنى أنه يجب على عمليات التشغيل الخاصة بتقنية المعلومات أن تقوم 
بتحديد وتصنيف جميع الوصلات والنظم الحالية داخل الأماكن المنطقية المتعلقة بالأمن. 
أحد العناصر الرئيسية في هذا التصنيف الأمني هو الوصول إلى الإنترنت والوصلات الشبكية 


الحوكمة وإدارة أمن تقنية المعلومات وإدارة الاستمرارية 


الأخرى مثل نظم الدعم الخاصة بالبائعين. وفيما يلي أربعة تصنيفات ممكنة لمثل هذه 
النظم املتداخلة: 


شكل توضيحي (١٠١-؟)‏ 


مفهوم نموذج أمن تقنية ا لمعلومات من أعلى لأسفل 





-١‏ النظم والعمليات الموثوقة: هي النظم التي تخضع مباشرة لسيطرة إدارة تقنية 
المعلومات. فمن المحتمل أن يحتاج المستخدمون والنظم إلى صلاحيات الوصول الكامل 
لجميع النظم الداخلية لتقنية ا معلومات بشكل أساسي. 

؟"- نظم شبه موثوقة: هي النظم الخاصة بدعم الموردين وبعض شركاء الأعمال. والتي 
تحتاج إلى صلاحيات وصول موثوقة لحماية النظم المكشوفة التي لا تكون متاحة لعامة 
الناس. 

۴- نظم غير موثوقة: هي غالبا النظم والعمليات المرتبطة بالعميل والتي تتطلب حقوق 
وصول موثوقة طصادر معلومات محددة. هذا بالإضافة إلى النظم المكشوفة والمتاحة 
لعامة الناس. 
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-٤‏ النظم العدائية وتهديدات العملية: حقوق وصول مقيدة ومحددة جدا فقط هي التي 
سمح بها للوصول إلى مثل هذه النظم. وينبغي الكشف عن محاولات الوصول غير 
المصرح بها في الوقت الحقيقي. 
عقب هذه التصنيفات» لا بد من إعادة النظر في جيمع المستويات الخاصة بروابط أو 

علاقات تقنية المعلومات مثل دعم ال موردين والعملاء والشركات الفرعية التابعة وشركاء 

الأعمال ووضعها على مستوى من الثقة وفقا لأنواع الضوابط التي يمكن المحافظة عليها. 

فضلا عن أن تحديد كل رابط في منظمة كبيرة هكن أن يكون في أحسن الأحوال أمرا 

صعبا. من الوسائل الفعالة لعمل تصنيف كهذا هو القيام بعقد ورشة عمل يشارك فيها 
مجموعة كبيرة من أعضاء طاقم العمل ذوي المعرفة والاطلاع المدركين للمفاهيم المرتبطة 
بأعمال المؤسسة والمشاريع وعلى علم بالمشاريع الأخرى داخل المؤسسة وبعمليات التشغيل 
الخاصة بتقنية المعلومات فيها. ومع أنه من غير المرجح تحديد الروابط كافة في ورشة عمل 
واحدة. فإن هذا النوع من ا ممارسة قد يساعد على تحديد أغلبية الروابطء ويساعد أيضاً 
على تحديد أعضاء طاقم العمل الآخرين في المؤسسة الذين قد يكونون مسؤولين عن تحديد 

تلك الروابط وغيرها. 
لا بد من توثيق هذه الروابط أو العلاقات وكذلك بروتوكولات الاتصالات الشبكية 

الخاصة بها واستخدامها لوضع ضوابط تفصيلية للسماح بالوصول من اللمواقع المناسبة 

المقصودة وإليها. ونتيجة لذلك فإنه ينبغي على المؤسسة الفصل بين الأجزاء المختلفة من 

شبكتها إلى عدة مناطق ثقة. 
إن عملية فصل وتصنيف النظم والعمليات تعمل على فصل النظم اعتمادا على فئات 

محددة من القفة. لذا يجب أن يكون هناك دانما لدئ اله بكة الداغلية لتقنية المعلومات 

في المؤسسة الجزء الشبك الخاصة بهاء مشتملا على خادم الويب» وخادم البريد الإلكترونىء 
وخادم اسم النطاق وغيرها من الخوادم الأخرى التي يجب أن يتم تصنيفها إلى مناطق ثقة 
وأن يتم تقسيمها أو تجزئتها بشكل مناسب. قد يؤدي هذا إلى تجزئة كل خدمة من هذه 
الخدمات ووضعها في مناطق منفصلة أو قد يؤدي إلى تنفيذ عدد من هذه الخدمات في 
منطقة واحدة. وسيعتمد التصميم النهاني للهيكل الأمني المحيط على هذا التصنيف الخاص 
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بالنظم والخدمات» غير أن تصميم تلك المناطق والتصنيفات يعد أحد العناصر الحساسة 
للأمن المحيط بتقنية المعلومات. 


تخطبط استمرارية تة تقنىة المعلومات: 

على مر السنين وخاصة في زمن استخدام الحواسيب المركزية القديمة؛: كان مدققو تقنية 
المعلومات في المؤسسة يقومون غالبا بإثارة العديد من القضايا التي تتعلق بمخاطر فقدان 
المؤسسة لقسم كبير من مواردها الخاصة بتقنية المعلومات نتيجة وقوع أحداث كارثية. 
الأمر الذي كان مصدر قلق كبيرء وخصوصا في الأيام الأولى لظهور تقنية المعلومات عندما 
كانت معظم العمليات التشغيلية للنظم تعتمد على النظم المركزية: حيث كان هناك 
القليل من وصلات الاتصالات لربط اموارد الخاصة بتقنية المعلومات» وقد كان يتم في هذه 
النظم المركزية القديمة تثبيت جميع التركيبات المطلوبة تقريبا من قبل البائعء إذ إن تركيب 
نظام جديد كان يستلزم جهودا ضخمة. 

وقد أدركت الإدارة العليا لاحقاً مخاطر تعطل تلك النظم: واستجابة لتلك المخاوف 
قامت أقسام تقنية المعلومات بتطوير إستراتيجيات بديلة للمعالجة. إن هذا التطوير 
الذي حدث في النظام والذي أصبح يعرف باسم التخطيط للتعافي من الكوارث الخاصة 
بتقنية ا معلومات» وفيه ستقوم المؤسسة غالبا بعمل الترتيبات اللازمة لتجهيز الموقع البديل 
الخاص بال معالجة لتغطية مخاطر تعطل النظام المركزي. ونظرا لأن تنفيذ مثل هذه الخطط 
قد يكون مكلف فإن مديري التدقيق الداخلي وغيرهم من المديرين في كثير من الأحيان 
كانت لديهم صعوبة في الترويج وتنبيه الإدارة العليا من تلك المخاطر. يسترجع مؤلف هذا 
الكتاب ذكرياته عندما كان يدير إحدى عمليات تدقيق تقنية المعلومات الخاصة بتخطيط 
التعافي من الكوارث لإحدى الشركات التي أصبحت فيما بعد من أكبر الشركات الأمريكية في 
مطلع التسعينيات من القرن الماضي» حيث كان واحد من المراكز الرئيسية للبيانات الخاصة 
بالشركة يقع بالقرب من أحد المطارات المزدحم بحركات الطائرات - مع وجود مخاطرة 
تتعلق بوقوع حوادث طيران - حيث لم تكن هناك أي خطة فعالة جاهزة للتعافي من 
الكوارث. وعندما قام قسم التدقيق الداخلي وللمرة الأولى بإثارة المخاوف المتعلقة بعدم 
وجود خطة فعالة لاسترجاع تقنية المعلومات» قام وقتها الرئيس التنفيذي للمعلومات °10 


دلبل المستول التنفيذي لحوكمة تقنية المعلومات ۳1 


الفصل العاشر 


بتجاهل هذه المخاوف قائلاً إن مثل هذه الكوارث لا يمكن أن تحدث أبداً. وف النهاية قام 
هذ المؤلف مع إدارة التدقيق الداخلي بإثارة تلك المخاوف في أحد الاجتماعات مع لجنة 
التدقيق لتهيئة الشركة لإطلاق مثل هذه الجهود الخاصة بالتخطيط لمواجهة الكوارث. 

خلال الفترة من تمانينيات وحتى مطلع تسعينيات القرن الماضيء كان الحل الشائع 
للتعافي من الكوارث المتعلقة بتقنية المعلومات بالنسبة للمؤسسات الكبيرة هو التنسيق 
مع أحد المرافق البعيدة المخصصة للعالجة بيانات التعافي من الكوارث لإجراء المعالجات 
الطارئة. وقد تم تخزين نسخ احتياطية للملفات والبرامج الرئيسية في أماكن خارج موقع 
العمل الحالي. مع وجود خطط تدعو موظفي تقنية المعلومات إلى التحول لاستخدام تلك 
المرافق البديلة في حال وقوع الكوارث. اعتقد المهنيون أن كوارث تقنية المعلومات هي 
فقط الحرائق والفيضانات أو بعض أحوال الطقس السيئة الأخرى. في تلك الأيام الأولى 
لنظم الحاسبات المركزية القديمة» كانت الشركات تستخدم في بعض الأحيان ما يبدو لنا 
اليوم وكأنها طرق غريبة لتطوير خططها الخاصة بالتعافي من كوارث تقنية المعلومات. فقد 
كانت هذه الطرق تقوم على توقيع "اتفاقيات تبادليه" مع مواقع قريبه منها ولديها موارد 
تقنية مماثلة لمواردها بحيث يمكن لكل منهما أن ينتقل إلى موقع آخر للمعالجة في حال 
وقع طارئ ما عند أي طرف من الطرفين. إن توقيع اتفاقية تبادلية بين اثنين من المديرين 
التنفيذيين للمعلومات 6105© يبدو أمرا جيدا من الناحية النظرية:. إلا أنها في الواقع لن 
تقدم أكثر من مجرد مساعدة إنسانية بشكل أساسي. فربما يكون هذا الموقع القريب الذي 
تم إبرام اتفاقية تبادلية مع القائمين عليه خارج نطاق الخدمة أيضا للسبب نفسه من 
الكوارث الطبيعية المتعلقة بالطقسء أو رها لن يهتم بأي طرف آخر يقوم بتشغيل النظم 
الخاصة به في فترات خارج ورديات العمل. وكعائق أخيرء فإن المستشار القانوني للشركة قد 
يكون لديه مجموعة من الأسباب ليقول لا للاتفاقية التبادلية. 

في السابق» حيث كان يتم وضع نظم الحاسبات المركزية في مرافق بالأدوار العليا وكانت 
هناك مساحة للكوابل وغيرها من المعدات الأخرى الموضوعة في الطابق نفسه. وكان هناك 
عدد محدود من الموردين (مثل ٤۷2لا‏ ,أطهلدحمخ :1831 : وقليل غيرهم) هم فقط من 
يقومون بتركيب وإعداد معظم النظم الخاصة بالحاسبات المركزية تقريبا. لذا فإن عملية 


الحوكمة وإدارة أمن تقنية المعلومات وإدارة الاستمرارية 


الانتقال إلى نظام بديل في الحالات الطارئة كانت تشكل تحديا كبيرا. ف الحقيقة: إن القيام 
بهذه العملية اليوم أصبح أسهل بكثيرء إذ تكون معدات الحاسب ق العادة جاهزة للعمل 
بدلا من تلك التي تحتاج إلى تصنيع وتهيئة مخصصة: .كما كان شائعاً في الماضي. 

م تكن الخطط الأولى للتعاق من الكوارث دقيقة بدرجة كبيرة. إلا آنه سرعان 
ماظهرت مجموعة من بائعي أدوات التعافي من الكوارث الذين لديهم مواقع لنظم 
الحاسب مجهزة بالكامل والتي تكون متوقفة عن العمل (أو ما كان يسمى بال مواقع 
"الساخنة" 51065 "101") لتعمل بصفة مرفق احتياطي في حالة الطوارئ. في تلك الأيام 
الخاصة با مرافق المركزية لتقنية المعلومات» كانت الشركات تتعاقد غالبا لاستخدام تلك 
المواقع "الساخنة" مرافق لها للتعافي من الكوارث» وإجراء الاختبارات الدورية» والاحتفاظ 
هناك بنسخ احتياطية من الملفات الرئيسية لذا كان على إدارة تقنية المعلومات إعادة 
التفكير في إستراتيجياتها. 

أمافي عصرنا الحالي الذي يتميز بالبيئة الافتراضية للتخزين في نظام الخادم-العميل 
والتطبيقات القائمة على شبكة الإنترنت (تطبيقات الويب) فإن اللؤسسة أصبحت تواجة 
مجموعة جديدة من المخاطر المحيطة بأصول تقنية المعلومات الخاصة بها. فمن الطبيعي 
ألا يكون هناك جهاز مركزي واحد للتعامل مع التطبيقات الآلية الكبيرةء وإنما يوجد 
مجموعة واسعة من أجهزة الحاسب المكتبية والخوادم والتسهيلات السحابية وغيرها 
من النظم المتصلة عادة من خلال وسائل اتصال بالغة التعقيد» وشبكات لإدارة التخزينء 
وروابط مع الإنترنت. إن المؤسسات لا تضع كافة موارد تقنية المعلومات الخاصة بها تقريبا 
في مركز بيانات واحد (أو أكثر)؛ فالإدارة مهتمة بالإبقاء على مرافق تقنية المعلومات الخاصة 
بها تعمل على أكمل وجه أكثر من قلقها بشأن ال مخاطر المتعلقة بفقدان أحد مرافق نظم 
الحاسب اللمركزية. إن المبدأ الأساسي للتخطيط من أجل التعافي من كوارث تقنية المعلومات 
كان يعتمد على امتلاك عمليات معمول بها لاستئناف عمليات التشغيل فى حال حدثت 
كارثة ماء هكن أن تتسبب في تعطيل مركز الحاسب. إن هذا النهج القديم للتعافي من 
الكوارث م يعد صالحا اليوم. قالمؤسسة بحاجة للتخطيط لاستمرارية العمليات التشغيلية 
لأعمالها في حال التعرض لأحداث غير متوقعة. 


دليل المسئول التنفيذي لحوكمة تقنية المعلومات اا 


الفصل العاشر 


فمع وجود نظم الخادم والنظم القائمة على الإنترنت اليوم: نجد أن اللغة والأساليب 
الإستراتيجية الخاصة بتخطيط استمرارية الأعمال والتعافي من كوارث تقنية المعلومات 
قد تغيرت. لذا يتعين على ال مهنيين الآن التفكير في أهمية وجود خطة لاستمرارية الأعمال 
Business Continuity Plan (BCP)‏ والتي تتكون من الإجراءات والعمليات الضرورية 
التي يجب اتباعها لاستعادة كل العمليات التشغيلية للأعمال. إن النهج والمطلب الجديد 
هو وضع خطة لاستمرارية الأعمال 807 بدلا من وضع خطة للتعافي من الكوارث التي 
كانت موجودة في السابق. فالمستخدم الذي يقوم باستخدام أحد النظم الخاصة ممعالجة 
طلبات الشراء عبر الإنترنت تكون درجة اهتمامه بحالة الخادم فيما إذا كان يعمل أو لا 
أقل من اهتمامه بطلب العميل الذي تم تسليمه عبر موقع الإنترنت فيما إن كان قد تمت 
معالجته بشكل سليم وفعال أم لا. لذا يجب استعادة وتشغيل التطبيق بشكل سريع 
وفعال قدر الإمكان. إلا أنه يبقى الهدف الرئيسي وهو دعم واستعادة عمليات الأعمال. 


خطط استمرارية الأعمال وحوكمة تقنية المعلومات: 

لا يزال بعض مديري تقنية المعلومات ينظرون إلى ال مخاطر والتعافي من الكوارث من 
منظور الخطة التقليدية القدهة للتعافي من الكوارث» على الرغم من أن تلك الخطط كانت 
تعتمد على الحاسبات المركزية القديمة والتي كانت موجودة قبل ظهور الإنترنت بزمن 
بعيد. في الأيام الأولى لتقنية المعلومات كان هناك تركيز كبير على مسألة التخطيط للتعافي 
من الكوارث - آي استعادة نظم أجهزة الحاسب والتطبيقات وملفات البيانات الخاصة 
بتقنية المعلومات - أما استرجاع العمليات الأساسية للأعمال فلم تعط الدرجة نفسها من 
الاهتمام. وعلى الرغم من أن التعافي من كوارث تقنية المعلومات لايزال من الأمور الهامةء 
إلا أن الإجراءات والممارسات الفعالة التي كانت مستخدمة سابقا للتعافي من كوارث تقنية 
المعلومات تكون غالبا ذات قيمة محدودة في ظل عام اليوم المتصل بالإنترنت» والنظم 
القائمة على الحوسبة السحابية الموجودة حاليا. ولكي تقوم المؤسسة بدعم عمليات حوكمة 
تقنية المعلومات الخاصة بها يجب أن تقوم بتثبيت وتنفيذ خطة شاملة قوية لاستمرارية 
الأعمال 805 تشمل كلا من استرجاع النظم وعمليات الأعمال الخاصة بها. 


re‏ دليل المسئول التنفيذي لحوكمة تقنية المعلومات 


الحوكمة وإدارة أمن تقنية المعلومات وإدارة الاستمرارية 


بالنسبة لبعض ال مهنيين: فإن هذه المصطلحات يكتنفها بعض الغموض. فعند البحث 
في الويب سواء عن "التعافى من كوارث تقنبة المعلومات 1601617 disaster‏ 11" أو 
"خطة الاستمرارية عقتصصةا82 "Continuity‏ سوف يقدم هذا البحث ظا من المراجع 
المتباينة لكلا ا مفهومين» متجاهلا ما نعتبره فروقاً جوهرية بين هذين المجالين. فمعظم هذه 
المراجع» على الرغم من أسمائهاء فهي تركز على التخطيط التقليدي للتعافي من كوارث تقنية 
المعلومات بدلا من العمليات الأكثر عمومية والخاصة بخطط استمرارية الأعمال ٣۴‏ 8. 
وفي مثال على هذا اللبس» قامت إحدى المنظمات المهنية ذات مرة بإطلاق اسم معهد 
التعاق من الكوارث Disaster Recovery Institute (DR1)‏ على معهد إدارة الطواری'“ 
[stitute for Contingency Management‏ وهو الاسم الذي يعرف به حاليا. 

ينبغي على كل مؤسسة أن تمتلك خطة فعالة ومعمولا بها لاستمرارية الأعمال 8٥۲‏ 
بصرف النظر عن حجم العمليات التشغيلية أو مدى أهمية موارد تقنية ا لمعلومات الخاصة 
بها. مع تركيز هذه الخطة على الأشخاص والمرافق المادية وغيرها من الموارد. فإن إطلاق 
خطة فعالة لاستمرارية الأعمال 807 يتطلب مشاركة طيف عريض من مديري المؤسسة 
وغيرهم من العاملين. من ناحية أخرق تمثل موارد تقنية المعلومات أحد العناصر الأنباسة 
في خطة استمرارية الأعمال 8٥‏ ولهذا السبب يجب على إدارة ا مؤسسة أن تدرك وتلعب 
دورا أساسيا في ترسيخ خطة استمرازية الأعمال 867 ف المؤسسة. 

وتمتد الخطة الفعالة لاستمرارية الأعمال 8078 إلى ما هو أبعد من تقنية اللعلومات 
لتشمل استعادة واستئناف جميع العمليات التشغيلية في المؤسسة والحفاظ عليها. وعلى 
الرغم من أن استعادة نظم تقنية المعلومات والبيانات الإلكترونية يعد أمراً هاماء فإن 
استرجاع تلك النظم والبيانات لن يكون كافيا ذائاً لاسمتعادة عمليات الف غيل الخاصة 
بالأعمال. فهناك العديد من الجوانب المتعلقة باستمرارية الأعمال مثل وضع خطة 
الاستجابة في حال حدوث فيضانات غير متوقعة أثناء عملية استخراج المعادن. على كل 
حال فإن الحديث في هذا الفصل سيكون عن العمليات التشغيلية للأعمال مع دعم مكثف 
للعمليات التشغيلية لتقنية المعلومات. 


دلبل المسئول التنفيذي لحوكمة تقنية ا لمعلومات 0 


الفصل العاشر 


وتشتمل خطة استمرارية الأعمال 8672 في المؤسسة على تحديد أولويات أهداف 
الأعمال وعمليات التشغيل الحرجة » والتي تعد من الأمور الأساسية لعملية التعافي. لذلك 
لابد من هيكلة العمليات ضمن إطار عمل على مستوى المؤسسة يأخذ بعين الاعتبار جميع 
العمليات الهامة ووحدات الأعمال والإدارات والنظم المطلوبة للاستجابة للحلول الخاصة 
بالخلل والتعافي التي يجب تطبيقها. كما يجب أن يشتمل هذا الإطار على خطة قصيرة 
وطويلة المدى لعمليات التشغيل الخاصة بالاسترجاع: فبدون العمليات الخاصة بخطة 
استمرارية الأعمال 807 على مستوى المؤسسة التي تأخذ بعين الاعتبار جميع عناصر 
الأعمال الحساسة؛ ربما يجعل المؤسسة غير قادرة على استئناف الخدمات التي تقدم للعملاء 
وغيرها من عمليات التشغيل عند مستويات مقبولة. ومع أن العديد من مؤسسات اليوم 
تفتقر غالبا إلى وجود خطط كهذه» فإنه يجب على الإدارة أن تقوم بتحديد أولويات الأهداف 
الخاصة بأعمالها وعمليات التشغيل الحساسة لديها والتي تعد من الأمور الأساسية لبقاء 
المؤسسة: وذلك على اعتباز أن استعادة جميع وخدات الأعمال قد لا يكون ممكنا بسبب 
التكلفةء وخدمات الإمداد أو التجهيزات» وظروف أخرى غير متوقعة. 

كما يجب أن تشتمل خطة استمرارية الأعمال 808 الفعالة على تحديث منتظم 
لتلك الخطة بناء على عمليات الأعمال وتوصيات التدقيق والدروس المستفادة من عملية 
الاختبار. وتشتمل التغيرات في عمليات الأعمال على التطورات التقنية التي تسمح بمعالجة 
أسرع وأكثر كفاءة. والتي من خلالها يتم تقليل الفترات المقبولة لاسترجاع العملية الخاصة 
بالأعمال. واستجابة للمطالب التنافسية ورغبات العملاء: فإن العديد من المؤسسات تقترب 
من فترات أقل للتعافي وتصميم حلول تقنية للتعافي داخل عمليات الأعمال. هذه التطورات 
التقنية تشدد على أهمية صيانة خطة استمرارية الأغمال 807 على مستوى اللؤسسة 
والحفاظ عليها. 

وقضلا عن أنه قد يوجد العديد من الاختلافات في عمليات التشغيل الخاصة بالأعمال 
المؤسسية: والعديد من الاختلافات التي تحتاج المؤسسة إلى أن تقوم بها من أجل تحقيق 
الاستمرارية في حالة وقوع بعض الحوادث أو الكوارث غير المتوقعة؛ فإنه من الصعب وضع 
وصف تفصيلي للمعايير الخاصة بخطة استمرارية الأعمال 807. ولتطبيق خطة لاستمرارية 


سس دليل المسئول التنفيذي لحوكمة تقنية المعلومات 


الحوكمة وإدارة أمن تقنية المعلومات وإدارة الاستمرارية 


الأعمال 807: يجب على إدارة المؤسسة أن تأخذ بعين الاعتبار الإرشادات المتعلقة 
باستمرارية الأعمال التي تم تطويرها بواسطة منظمات مهنية مختلفة كالجمعية الوطنية 
الأمر يكية للحماية من الحريق National Fire Protection Association (NFPA)‏ التي 
تم تطويرها من خلال بائعي الحاسبات كشركة أوراكل 012616 وإتش بي 41۴ أو التي تم 
تطويرها من خلال منظمات المعاير الوطنية الأخرى. ولعل أفضل الواد الخاصة بأفضل 
الممارسات المتبعة لاستمرارية الأعمال وأكثرها شهرة. هي التي صدرت عن الهيئة البريطانية 
الوطنية للمعايير (851) عاناءع:183930:051.807 ومعهد استمرارية الأعمال التابع لها الذي يقوم 
بنشر إرشادات حول بعض الممارسات الجيدة. هذه المعايير مشابهة للمعايير الآيزو 150 التي 
تمت مناقشتها في الفصل السابع من هذا الكتاب. ويوضح الشكل التوضيحي )"-٠١(‏ نظرة 
عامة حول دورة حياة خطة استمرارية الأعمال 807 وفقا للمعيار البريطاني 25999 85. 

لقد قمنا بوصف هذا النهج الخاص بخطة استمرارية الأعمال 808 على أنها عملية 
حلقية ومستمرة لدورة الحياةء في وسط هذه العملية يوجد ما يعرف بإدارة برنامج خطة 
استمرارية الأعمال 807 وفي خطوة أولى لإصدار خطة فعالة لاستمرارية الأعمال. يجب 
على ال مدير المسؤول في المؤسسة أن يتحمل مسؤولية تعريف وإدارة البرنامج الخاص بوضع 
خطة استمرارية الأعمال 807. لقد كانت المؤسسات على مر التاريخ تنظر إلى قسم تقنية 
المعلومات التابع لها وتفترض أن العاملين بهذا القسم سيقومون بإدارة العمليات التشغيلية 
الخاصة بخطة استمرارية الأعمال 807 باعتبار أنه الفريق المسؤول عن خطة التعافي من 
كوارث تقنية المعلومات وعمليات النسخ الاحتياطي للملفات والاختبارات الدورية لهذه 
الخطة. فضلا عن أنه في الغالب توجد عمليات ومهام أخرى تخص الاستمرارية تذهب إلى 
ما هو أبعد من مجرد تقنية المعلومات: كما أن هناك آخرين في المؤسسة رها يكونون هم 
الأطراف الأكثر ملاءمة للاضطلاع بمسؤولية هذا البرنامج على مستوى اللؤسسة. 

أما في المؤسسات التي يوجد بها وحدة لإدارة المخاطرء يكون المدير التنفيذي للمخاطر 
عادة هو الشخص الأنسب لتحمل مسؤولية برنامج إعداد خطة استمرارية الأعمال 
2. لكن في حالات أخرى: فإن ا مدير التنفيذي للمعلومات 0109 ممكن أن يتحمل 
كامل المسؤولية: أو قد يتم إسناد المهمة هنا إلى إدارة ضمان الجودة في المؤسسة. وتعد 


دليل المسئول التنفيذي لحوكمة تقنية ا للعلومات موسو 


الفصل العاشر 


خطة استمرارية الأعمال 807 أحد العناصر الهامة للغاية في حوكمة تقنية المعلومات في 
المؤسسة. وفي جميع الحالات فإنه ينبغي على لجنة التدقيق أن تقوم بمراجعة إستراتيجية 
خطة استمرارية الأعمال 867 هذه والموافقة عليها. 

أضف إلى ذلك أن المؤسسة تحتاج إلى وضع سياسة رفيعة المستوى لتحديد نطاق 
وأهداف خطط استمرارية الأعمال 8025 الخاصة بها. فمن السهل على المدير الأول أن 
يصرح بأن خطة استمرارية الأعمال 807 لدى المؤسسة ستغطي كل شيء» غير أن هناك 
حاجة لمحددات رفيعة المستوى تتعلق بنطاق الخطة. وعلى الرغم من أن تصريحات كهذه 
قد تبدو رائعة ومثيرة للإعجاب» فإنه قد يكون هناك منتجات أو خدمات معينة لا تحتاج 
إلى أن تكون في آي مستوى من المستويات العليا في خطط استمرارية الأعمال .8٣۴‏ 


شكل توضيحي (۴-۱۰) 
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۴۴# ديل المسثول التنفيذي لحوكمة تقنية المعلومات 


الحوكمة وإدارة أمن تقنية المعلومات وإدارة الاستمرارية 


لابد من تأسيس فريق يعمل تحت إدارة الوحدة المؤسسية التي أسندت إليها مسئولية 
إعداد خطة استمرارية الأعمال 80:82 الخاصة بالمؤسسة. مهمة هذا الفريق تطوير سياسة 

استمرارية الأعمال للمؤسسة. بحيث تشتمل هذه السياسة على ما يلي: 

٠‏ مراجعة أي مواد حالية متعلقة بالتخطيط لاستمرارية الأعمال في المئؤسسة مثل الخطط 
الموجودة للتعافي من كوارث تقنية المعلومات أو خطط الطوارئ المتعلقة بالأحوال 
الجوية. وذلك لتحديد مدى ملاءمة الإجراءات الخاصة بخطة استمرارية الأعمال 8٣۴‏ 
الخاصة بها . 

٠‏ تحديد أي من إرشادات الممارسات الجيدة أو التنظيمات أو التشريعات التى يجب 

تضمينها في أي خطة لإدارة استمرارية الأعمال /8012. 

إجراء تقييم رفيع المستوى للمخاطر المتعلقة بخطة استمرارية الأعمال 8008 بمعنى 

تحديد جميع النظم الرئيسية وخطوط الإنتاج ووحدات الأعمال وغيرها من الإدارات التي 

تتطلب أولويات عليا لاستمرارية أعمالها 


٠‏ تطوير سياسة المؤسسة لاستمرارية الأعمال ومناقشة فرضياتها للحصول على موافقة 
الإدارة العليا ولجنة التدقيق. 
٠‏ نشر السياسة التي تمت الموافقة عليها لخطة استمرارية الأعمال 807 على أنها دليل رفيع 
المستوى لإطلاق البرنامج الشامل لاستمرارية أعمال المؤسسة. 
يجب أن تصبح هذه الخطة المتفق عليها أو المقبولة لاستمرارية الأعمال 807 فيما 
بعد بمثابة حجر الأساس لجميع أنشطة التخطيط لاستمرارية المؤسسة. وهذا هو جوهر 
مفهوم الحوكمة الذي سوف يسمح للمؤسسة بتضمين خطط استمرارية الأعمال في ثقافتها 
العامة. كما يجب استخدامها من قبل المواد الإرشادية الخاصة باستمرارية الأعمال التي 
تمت مناقشتها في هذا الفصل في خطوة أولية لإطلاق مجموعة من العمليات الفعالة 
لإدارة ة استمرارية الأعمال (801/1) .Business Continuity Management‏ وكما ذكرنا 


سابقا عد م ا يج pe i‏ ا 


دليل المسئول التنفيذي لحوكمة تقنية ا معلومات ۳۹ 


الفصل العاشر 


المنظمات الراعية (0050) الذي تمت مناقشته في الفصل الرابع من هذا الكتاب والذي 
أصبح معيارا عالميا. 


يلخص نموذج دورة حياة إدارة استمرارية الأعمال 501/1 الموضح في الشكل التوضيحي 
)۳-٠١(‏ العمليات الضرورية لفهم التنظيم النمطي للأعمال. ونتيجة لذلك يجب أن 
تكون المؤسسة في وضع يمكنها من اختيار إستراتيجيات ملائمة لاستمرارية أعمالها حتى 
تتمكن من تحقيق الأهداف المرجوة من وضع خطة لاستمرارية الأعمال 807. كما 
يجب على المؤسسة إطلاق مجموعة من العمليات البديلة للتشغيل لكي يتم استخدامها 
بعد الانقطاع الناتج عن عطل ما وذلك للإبقاء على أنشطة الأعمال في كل مجال من 
المجالات الرئيسية. وبناء على المخاطر التي تم تقديرهاء فإن هذه الإستراتيجيات يجب أن 
تعتمد على مجموعة من العواملء في تحديد أطول فترة زمنية مسموح بها لتوقف بعض 
الأنشطة الحرجة» وتكلفة تطبيق الإستراتيجية بالإضافة إلى العواقب الناتجة عن أي عطل 
أو انقطاع. 


إن الفرق الجوهري بين اتباع هذا النموذج الخاص بخطة استمرارية الأعمال 8607 
والطرق التقليدية القديمة للتعافي من الكوارث» هو أن المخططين يجب أن لا يفكروا بخطة 
إستراتيجية واحدة للمؤسسة فحسبه بل لا بد من التفكير في كثير من الطرق ال مختلفة على 
مستوى النشاط بالنسبه للمؤسسة. إن التعقيدية الخاصه بالاعتمادات المتبادله فيما يتعلق 
بالخدمات» وعمليات الأعمالء والبيانات» والتقنيات تحتاج إلى تحليل» وذلك من خلال 
الوسائل المناسبة لمعالجة احتياجات كل من: 

٠‏ الأشخاص ف المؤسسة: هناك حاجة لتحديد إستراتيجيات ملائمة للحفاظ على المهارات 
والمعرفة الأساسية للأفراد داخل المؤسسة ومستوى المعرفة لدى الأشخاص العاملين في 
المؤسسة والحفاظ عليها. فالعديد من هذه الاحتياجات هنا تشمل مجالات مثل أوصاف 
وظيفية موثقةء تدرج في التخطيطء والعديد من ال ممارسات الأخرى التي يجب تعزيزها 
من قبل الإدارة الجيدة للموارد البشريه. من ناحية اخرى يجب أن تدرك إستراتيجيات 
الأعمال دائما أن الأفراد الأساسيين قد لا يكونون متاحين لمواصلة النشاطء وأن عمليات 
الاستمرارية القائمة على الأفراد يجب أن تكون دائماً في موضع التنفيذ. 


ع دليل المسئول التنفيذي لحوكمة تقنية المعلومات 


الحوكمة وإدارة أمن تقنية المعلومات وإدارة الاستمرارية 


٠‏ احتياجات موقع العمل: يجب على المؤسسة وضع إستراتيجية للتقليل من الاثار المترتبة 
على عدم إتاحة مواقع العمل الطبيعية. ويتطلب ذلك في معظم الحالات إستراتيجية 
لتحديد مواقع بديلة لاستمرار العمليات التشغيلية أو حتى تحديد أحد الموظفين للعمل 
من المنزل للقيام ببعض الأنشطة. فإذا كانت بعض مرافق المؤسسة قد تم تضمينها في 
أنشطة مثل الصناعات الثقيلة أو المعالجة الكيميائيةء مهما يكنء فإن إتاحة موقع بديل 
رها لا يكون بالأمر السهلء بل إن إستراتيجيات أخرى على مستوى النشاط قد تتضمن 
حتى الاتسحاب من عمليات التفغيل على المدى القصد: 

٠‏ التقنيات الداعمة: تعتمد المؤسسات على مرافق تقنية المعلومات ومعالجات شبكة 
الاتصالات السلكية واللاسلكية وموارد فحص المنتجات وعلى العديد من الأجهزة الأخرى 
حسب النتج أو النشاط. وعلى الرغم من أن العديد من المؤسسات قد قامت بالفعل 
بتطوير خطط قوية للتعافي من كوارث تقنية المعلوماتء فإن هذه المؤسسات بحاجة إلى 
فهم الأنشطة الأخرى لديها والقائمة على التقنية بشكل جيد لتقوم بتطوير إستراتيجيات 
مناسبة لخطط استمرارية الأعمال 807. 

٠‏ المعلومات الفعلية والافتراضية: بالإضافة إلى موارد تقنية المعلومات وغيرها من الأدوات 
القائمة على التقنيةء يجب أن يكون لدى المؤسسة مجموعة كبيرة من الأنشطة اللمتعلقة 
با معلومات التي يمكن تقدهها على هيئة نسخ حقيقية وكذلك نسخ افتراضية أو إلكترونية. 
كما يجب أن يكون لأي معلومة مطلوبة لتنفيذ أنشطة حساسة الضوابط الملائمة والخاصة 
بالسرية والنزاهة والإتاحة والتداول. 

٠‏ المعدات والأجهزة: يجب على المؤسسة تحديد وحيازة مخزون الأجهزة والمعدات الأساسية 
التي تدعم الأنشطة الحساسة. فقد تتضمن الإستراتيجيات القائمة على النشاط تخزين 
الأجهزة في مواقع بديلةء أو عمل الترتيبات اللازمة مع الأطراف الثالثة لتسليم الأجهزة. 
أو حيازة أجهزة معينة في مستودعات منفصلة: أو تحديد مصادر توريد بديلة. ولأن 
الأنشطة الحساسة تعتمد على تجهيزات متخصصة»ء يجب تحديد أو إجراء الاستعدادات 
التعاقدية مع الموردين الرئيسيين الحاليين. 


دليل المسئول التنفيذي لحوكمة تقنية المعلومات ع 


الفصل العاشر 


٠‏ أصحاب المصالح والشركاء والمقاولون: يجب على المؤسسة وضع استراتيجيات ملائمة 
لإدارة العلاقات مع أصحاب المصالح وشركاء الأعمال أو الخدمات والمقاولين الرئيسينء لذا 
يجب على إستراتيجية إدارة استمرارية الأعمال 801/4 أن تأخذ بعين الاعتبار تلك الأطراف 
امعنية الرئيسية والعمل على حماية مصالحهم. 

إن تطوير خطة استمرارية الأعمال والإستراتيجية الداعمة قد يكون في الواقع جهدا كيرا 
لتغطية جميع أنشطة المؤسسة. لذا يجب على الخطة الشاملة لاستمرارية الأعمال 8072 أن 
تنظر في جميع التهديدات الخاصة بالاستمرارية فيما يتعلق بالروابط والعلاقات بين جميع 
الأنفظة ال رة للمؤسسة. ونظرا لكثرة التداخلات في جميع أنواع . عمليات التشغيل 

الخاضة بالأعمالء فإن هناك عددا قليلا قاتا بذاته: وأنشطة مستقلة تماما. 

إن الممارسات الفعالة لأمن تقنية المعلومات عبارة عن مجموعة من المهام المعقدة 
والتي تتطلب دعما فنيا قويا لتقنية المعلومات في ا مؤسسة. الأمر نفسه بالنسبة للتخطيط 
لاستمرارية الأعمال الذي فطلب فعا كاملا فخ قق اكامات والادازة السلا فيلا عق 

أن كليهما يعد من المكونات الهامة في العمليات الفعالة لحوكمة تقنية المعلومات. 


الحوكمة وإدارة أمن تقنية المعلومات وإدارة الاستمرارية 


ملاحظات: 
Computers at Risk: Safe Computing in the Information Age (Washington, DC:‏ .1 
National Academies Press, 1990), http://www.nap.edu/openbook.php?isbn=0309043883.‏ 
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سلامة المنتج. وقد قامت باختبار المنتجات من أجل السلامة العامة لأكثر من قرن. 


www.ul.com/global/eng/pages. 


3. Mariane Swanson and Barbara Guttman, Generally Accepted System 
Security Principles (GASSP), NIST, Version 2.0, June 1996, http://csrc.nist., 
gov/publications/PubsSPs.html. 


». معهد التعافي من الكوارث الدوليةء مدينة فولز تشيرش» ولاية فرجينيا الأمريكية 


www.drii.org. 


FEE 


الفصل الحادي عشر 
معايير أمن البيانات الخاصة بصناعة بطاقات الدفع (255 201) 


وقواعد أخرى لحوكمة تقنية المعلومات 


يعد معيار أمن البيانات الخاص بصناعة بطاقات الدفع Payment Card Industry‏ 
Data Security Standard PCI DSS‏ احد أفضل الممارسات الخاصة بأمن المعلومات 
وكذلك معيار الصناعة المطلوب من قبل العديد من المؤسسات التي تتعامل مع معلومات 
أصحاب البطاقات بالنسبة للبطاقات الرئيسية كالسحب/ الخصم اهف والائتمان أذل مك , 
وبطاقات الدفع الآلي ۸1M‏ والبطاقات المستخدمة في نقاط البيع (05) 124-01-5216ز50 
الموجودة في محلات بيع التجزئة. وقد تم تعريف هذا المعيار من قبل مجلس معايير 
صناعة بطاقات الدفع وأمن البيانات Data Security Standards Council PCI‏ وقد 
تم وضع هذا المعيار لزيادة الضوابط التي تحيط ببيانات حامل البطاقة وتقليل عمليات 
الاحتيال على البطاقات الائتمانية. وذلك باستخدام مجموعة من أفضل الممارسات الموضّى 
بها. ففي ظل الاعتماد على استخدام بطاقات الدفع في مختلف أشكال الأعمال التجارية 
في جميع أنحاء العام هذه الأيام» ينبغي على المؤسسات التي تستقبل البطاقات الائتمانية 
لإتمام عملياتها التشغيلية على مختلف المستويات أن تلتزم بمعيار 1055 201. إن فهم 
هذا المعيار ومتطلبات الامتثال به يعتبر واحد من العناصر الهامة الخاصة بحوكمة تقنية 
المعلومات بالنسبة للعديد من كبار مديري الأعمال هذه الأيام. 

يقدم هذا الفصل معيار أمن البيانات الخاص بصناعة بطاقات الدفع 1055 ۴٣1‏ 
ويناقش أيضا أهدافه الرقابية للمساعدة في بناء وصيانة شبكة آمنة لتقنية معلومات. 
وسنتحدث أيضاً عن متطلبات الامتثال التي تندرج تحت هذه القواعد. وكل من عمليات 
التقييمات المناسبة للأمن ف المؤسسات الكبيرة إلى جانب عمليات الاستخدام الاختياري أو 
التطوعي لاستبيانات التقييم الذاتي Questionnaire (Š5SAQ)‏ أتاعدرووءو5و3- 1اء5 المتعلقة 
بمعيار 1055 201 فى الشركات الصغيرة. وتشتمل قواعد هذا المعيار على ما هو أكثر بكثير 


دلبل المسئول التنفيذي لحوكمة تقنية المعلومات مع 


الفصل الحادي عشر 


من مجرة المساجَلات القاسة بالبظاقات اة العملا حت صن الال هنا جما 
رئيسياً وهاما في حوكمة تقنية المعلؤمات. 

كما يتحدث هذا الفصل أيضاً بشكل مختصر عن قانونين آخرين من القوانين 
الأمريكية التي لها تأثير في حوكمة تقنية المعلومات وهما: قانون غرام ليتش بليلي 
Gramm-Leach-Bliley (GLBA)‏ الذي يغطي العمليات الخاصة بجمع المعلومات 
الشخصية الخاصة بالمستهلكين والإفصاح عنها وحمايتهاء بالإضافة إلى مناقشة القواعد 
الخاصة بحفظ سجلات تقنية ا معلومات التي تعد من عناصر قانون الرعاية الصحية 
المعروف بقانون 8112448. إن نقاشنا الدائر حول كل من 61:84 و1112848 يعد 
مجرد أمثلة للعديد من القوانين والقواعد التي نواجهها اليوم والتي تشتمل على العديد 
من قضايا حوكمة تقنية اللعلومات. 

في الولايات المتحدة الأمريكية والاتحاد الأوروبي وغيرها من الأماكن في كل أرجاء العا 
نلاحظ أن تلك القوانين» وهذا العدد غير المحدود كما يبدو من القوانين والقواعد والمعايير 
الأخرى التي قد تم إصدارها مؤخرا؛ تحتوي على الأقل على بعض القضايا المتعلقة بحوكمة 
تقنية المعلومات. وفضلا عن المعلومات الموجودة في ثنايا هذا الفصل حول 155 501 
و6184 و1۴44 فإن الفصول الأخرى ستقوم بتغطية القواعد والمعايير المختلفة 
لحوكمة تقنية المعلومات. على سبيل ال مثالء قدم الفصل السابع من هذا الكتاب المعايير 
الدولية الصادرة عن الآيزو فيما يخص حوكمة تقنية المعلومات» كما سيناقش الفصل السايع 
عشر من هذا الكتاب الإرشادات الخاصة باتفاقيات مستوى الخدمة لتقنية اللعلومات 
وكذلك الإرشادات الخاصة بقيمة تقنية المعلومات 1١‏ 121 الصادرة عن جمعية م1540 
وكلاهما هام جداً بالنسبة لحوكمة تقنية المعلومات. لذا ينبغي دائماً على القائمين على 
تقنية المعلومات المؤسسية أن يكونوا على الأقل على علم بتلك القوانين والقواعد وغيرها من 
المعايير الجديدة ومدى تأثيرها في الممارسات الجيدة لحوكمة تقنية المعلومات. 


معلومات أساسية عن صناعة بطاقات الدفع وأمن البيانات 1055 201 والمعايير الخاصة بها: 
بداية من مطلع ستينيات القرن الماضي» أصبحت بطاقات الائتمان البلاستيكية ذات 
النقوش البارزة من الأدوات الشائعة وقتها والتي استخدمت بشكل أساسي من قبل رجال 
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الأعمال والمهنيين لشراء تذاكر الطيران. ودفع فاتورة عشاء العملء وشراء وقود السيارة. ولا 
تزال بعض الشركات الأولى في هذا ا مجال والْضدرة لهذه البطاقات العامة موجودة حتى 
الآن كفركة أمريكان إكسيرس 65و83 ٤ «American‏ حين أن أنواعا أخرى لبطاقات 
الائتمان كانت تحمل أسماء مثل كارت بلانش 8132126 Cae‏ ودينرز كلوب Diners‏ 
طا مم يعد لها وجود في الوقت الراهن. وقد تم إصدار بطاقات أخرى لإحدى شركات 
الوقود أو أحد المحلات التجارية: وكانت تلك البطاقات مفيدة فقط في شراء مثل هذه 
المنتجات أو في التعامل مع هؤلاء التجار. وقد كانت البطاقة الخاصة بشركة أمريكان 
أكسبريس رائجة بشكل بارز نظرا لاستخدامها لدى العديد من التجار الذين اتفقوا على 
قبول التعامل بها. إلا أن إصدارها ظل مقتصراً على النخبة الذين تتوافر لديهم المعايير 
الائتمانية الشخصية القوية وال مفروضة على إصدار مثل هذا النوع من البطاقات. 

ف سبعينيات القرن الماضيء ظهرت بطاقات الائتمان فيزا 17158 وماستر كارد 1/135]610031:0, 
ومع مطلع الثمانينيات من القرن نفسه ظهرت بطاقة الائثتمان ديسكفر 1(0156017©1. حيث 
تم ترخيص وإصدار كل بطاقة من هذه البطاقات عن طريق البنك المحلي الخاص بحاملي 
هذه البطاقات بحيث تتبع لمجموعة مستقلة تكون مسؤولة عن إدارة العلامة التجارية 
الخاصة بالبطاقة ورسوم استخدامها في الأعمال التجارية التي تقبل تلك البطاقة. وقد شاع 
استخدام تلك البطاقات الائتمانيةء بحيث أصبح العديد من المستهلكين هذه الأيام يحملون 
في جيوبهم عددا كبيرا من البطاقات التي تصدر من بنوك مختلفة. 

ازدهرت البطاقات الائتمانية ونجحت في جميع أنحاء العالم. وقد صاحب ذلك (الازدهار) 
زيادة مستوى المخاطر التي تتعلق بالاحتيال على البطاقات الائتمانية وأمنها وحمايتها. 
وبالرغم من أن البنك هو المسؤول عن إصدار مثل تلك البطاقات الائتمانية للأشفخاص: 
فإنه قد تم إنشاء شركات مستقلة لإدارة كل علامة من هذه العلامات التجارية الكبرى 
الخاصة بتلك البطاقات. فعلى سبيل المثالء تقوم إحدى هذه الشركات بالتعامل مع جميع 
بطاقات فيزا كارد 0814© 17158 في حين أن هناك شركة أخرى تتعامل مع بطاقات ماستر 
كارد 21351610314. أما فيما بخص أمن تلك البطاقات فقد كانت هناك اهتمامات تكاد 
تكون متشابهة بين تلك الشركات المعنية بإدارة كل بطاقة من هذه البطاقات» وذلك لإيجاد 
مستوى إضافي من الحماية بالنسبة للشركات المضدرة لتلك البطاقات» وذلك عن طريق 
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ضمان أن التجار المتعاملين معهم لابد أن يلتزموا على الأقل بالحد الأدنى من مستويات الأمن 
عند قيامهم بحفظ ومعالجة ونقل البيانات الخاصة بحاملي تلك البطاقات. 

ولإيجاد حل لتلك الاختلافات البسيطة الموجودة بين مختلف أنواع البطاقات الائتمانية 
على نحو أفضلء فقد تم تشكيل مجلس صناعة بطاقات الدفع Payment Card Industry‏ 
لكدناه» (201). وقد كانت قضايا الأمن واختلاف القواعد أحد أبرز المشكلات المثارة بين 
جميع أعضاء المجلس. وف عام ٠٠١6‏ قامت شركات البطاقات الائتمانية بتوحيد جميع 
السياسات الفردية لكل منهم: وتشكيل مجلس العايير الأمنية Security Standards‏ 
اأعدداه© والذي نتج عنه إطلاق الإصدار الأول من معيار أمن البيانات 255 201. وكان 
عبارة عن معيار وليس قانوناء إلا أنه كان من المتوقع أن يلتزم به جميع التجار الذين 
يستخدمون بطاقات الائتمان. 

وبالنظر إلى كل التغيرات التي جرت على العمليات الخاصة بمعالجة البطاقات الائتمانية في 
النقيات الأغرة. مق خلال مسيزات مكل المسائبة'اللاسلكة والمغاطر الخاصة دالب هة علاوة 
على سرقة أرقام البطاقات المرخصة والمخزنة في سجلات أعمال المؤسسة» وغيرها من مخاطر 
الاحتبال المتزايدة: لذا فقد مر معبار 1055 201 بعدة مراحل من ال لراجعات والتنقيحات منذ 
الإصدار الأول له. وقد يتحقق الالتزام بقواعد المعيار 1055 201 من خلال التقييمات الذاتية 
الاختيارية أو التطوعية بالنسبة لصغار مستخدمي 501. إلا أن الامتشال بها يكون إلزاميا 
بالنسبة للشركات الكبيرة التي تقوم معالجة تلك البطاقات الائتمانية. وسواء كانت بطاقات 
الدفع تسخدم هذه الأيام من خلال اختصاصيي تقنية المعلومات أو من خلال أي من عمليات 
تشغيل المؤسسة: فإنه ينبغي أن يكون لدى مسئولي الأعمال التنفيذيين فهم عام لمعيار 50:1 
5 ولدى تأثيرة في العمليات التشغيلية للمؤسسة على الأقل. 

يستعرض الشكل التوضيحي )١-١١(‏ المتطلبات ذات المستوى الرفيع الخاصة بمعيار 50:1 
5 والأهداف الرقابية المرتبطة به. سنتحدث بتفصيل أكثر في الأقسام التالية عن الغاية 
الكامنة وراء متطلبات هذا المعيار. وسنوضح المتطلبات الضرورية للحفاظ على بيانات حامل 
البطاقةء ثم سنقوم بالحديث عن طبيعة وأهمية عمليات التقييم الذاتي الخاصة بهذا المعيار. 
وستتناول فصول أخرى مواضيع مهمة جدا لتحقيق الامتثال الفعال لهذا المعيار. على سبيل 
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المثال: قد ناقش الفصل العاشر من هذا الكتاب القضايا المتعلقة بأمن تقنية المعلومات التي 

تعد من الأمور الهامة بالنسبة للحوكمة الفعالة لتقنية المعلومات. هذه القضايا نفسها على 

الدرجة نفسها من الأهمية فيما يتعلق بتحقيق الامتثال لمعيار 1055 201. 
بالإضافة إلى معيار أمن البيانات 085 فقد قام 201 بإصدار معيارين آخرين لهما 

علاقة بهذا المعيار وهما: 

-١‏ معيار أمن التعاملات الخاصة بالأرقام الشخصية السرية الخاصة ببطاقات الدفع 
Security (PCI PTS)‏ 1011ا11:31153 [211. وهى مجموعة من المتطليات 
الأمنية التى ركزت على إدارة الأجهزة المستخدمة لحماية أرقام التعريف الشخصية 
Personal Identification 200 (PIN)‏ لحاماي البطاقات الإئتمانية 
والأنشطة الأخرى المتعلقة بمعالجة عملية الدفعء متخا متطلبات تصميم 
وصناعة ونقل الجهاز إلى المنشأة التي ستقوم بتطبيقة. 

شكل توضيحي )١-1١(‏ 

متطلبات معيار أمن البيانات الخاص بصناعة بطاقات الدفع 1255 ۴٣1‏ والأهداف الرقابية المرتبطة به 

ظ متطلبات المعيار 555 2001 

.١‏ قم بتنصيب وصيانة بنية الجدران النارية لحماية بيانات 
حامل البطاقة. 


لا تستخدم القيم الافتراضية التي يوفرها المورد لتخصيص 
كلمات ال مرور وغيرها من معاملات الأمن في النظام. 


. قم بحماية البيانات المخزنة لحامل البطاقة. 


.٤‏ قم بتشفير انتقال البيانات الخاصة بحامل البطاقة عبر 
الشركات العامة واللفتوحة. ظ 
0. قم باستخدام برمجيات محدثه بشكل منتظم للتخلص من ظ 
الفيروسات وفحص جميع الأنظمة التي تكون عادة عرضة للبرامج 
الضارة. 

5. قم بتطوير وصيانة تطبيقات نظم آمنة. 
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تطبيق إجراءات وتدابير قوية |لا. قم بقضر الوصول لبيانات حامل البظاقة فغط على الأغمان 
وصارمة لضبط الوصول. التي بحاجة إلى معرفة هذه البيانات. 


الوصول للبيانات باستخداعم الحاسب. 


4. قم بتقييد الوصول الفعلي لبيانات حامل البطاقة. 


مراقبة وفحص الشبكات بشكا| 5 قم بتعقب ورصد كل عمليات الوصول طوارد الشبكة 
کا وبيانات حاملي البطاقات. 


.١‏ قم بفحص نظم وعمليات أمن البيانات بشكل منتظم. 
الحفاظ على سياسة أمن المعلومات. | .١7‏ قم بالحفاظ على السياسة التي تقيّم من خلالها أمن 
اللعلومات. 





۲. معيار أمن المعلومات الخاص بتطبيقات الدفع .Payment Application (PA 5SS)‏ 
هذا المعيار يخص مطوري البرمجيات والقائمين على تكامل تطبيقات الدفع والتي تقوم بتخزين 
أو معالجة أو نقل بيانات حاملي البطاقات كجزء من عملية الترخيص أو الاتفاقيات التي تتم 
عند القيام ببيع هذه النظم أو توزيعها أو ترخيصها للآخرين. 

وعلى الرغم من العلاقة الوطيدة بين هذين المعيارين الجديدين وال معيار 1055 ۴€1, فإننا 
سنركز في حديثنا في هذا الفصل على معيار أمن البيانات الخاصة بصناعة بطاقات الدفع 501 
5. والذي يعد من المعايير الهامة لحوكمة تقنية المعلومات في العديد من المؤسسات. 


حماية بيانات حاملي البطاقات وبرامج إدارة الثغرات الأمنية: 

من السهل نوعا ما أن يقوم التاجر الصغير بإجراء جميع الترتيبات المصرفية الضرورية 
لتنفيذ المعاملات التي تتم من خلال بطاقة الفيزا أو بطاقة الماستر كارد أو غيرهماء ثم 
يقوم بعد ذلك بوضع أجهزة قارئة أو ما يسمى بأجهزة الماسحات الضوئية من أجل 
قبول تلك البطاقات لإتمام عمليات الدفع الخاصة بالمشتريات. حيث يتم نقل معلومات 
الشراء الخاصة بالبطاقة إلى معالج خاص ببطاقات الائتمان» ثم يحصل التاجر على تمن 
المنتجات التي تم شراؤها. ويتم تحميل فاتورة الشراء على حساب بطاقة الائتمان الخاصة 
بالمشتري. في هذه العملية الشائعة بكثرة. توجد مخاطرة من أكبر المخاطر الأمنية التي 
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يتم تجاهلها غالباء وهي أنه من الممكن أن تتم سرقة رقم البطاقة الائتمانية إلى جانب 
البيانات التعريفية الخاصة بالعميل واستخدامها في أغراض غير مشروعة. نذكر هنا على 
سبيل المثال إحدى الحوادث التي تم فيها التبليغ عن اختراق ما يزيد عن مائة مليون سجل 
من السجلات الخاصة بمعلومات العملاء في الولايات المتحدة على مدار عامين بدأت من 
عام ٠٠١0‏ وانتهت فى عام ا١٠٠7'".‏ كما أن الاستخدام غير المشروع لتلك الأرقام الخاصة 
بالبطاقات الائتمانية التي تم اختراقها سيعرض كلا من التجار وشركات البطاقات الائتمانية 
وأصحاب البطاقات إلى المخاطر. إن الهدف الرئيسي لمعيار 1055 201 هو توفير حماية 
كافية لبيانات أصحاب البطاقات المحفوظة في النظام. قد يعتقد المرء أن النظم الخاصة 
مزودي خدمات البطاقات كبطاقة الفيزا أو الماستر كارد والبنوك المنتسبة لها ستكون 
آمنة (كما تشترط اللوائح المصرفية): وأنه من المتوقع أيضا أن يقوم الفرد بحماية بيانات 
البطاقة الائتمانية الخاصة به أو بها. على أية حال» جرت العادة أن يقوم أصحاب المحال 
التجارية بمعالجة العديد من أرقام البطاقات الائتمانية مع مرور الوقت. فالمطلب الرئيسي 
معيار 155 ۶٣1‏ هو ضرورة أن تقوم المؤسسة بتأمين وحماية البيانات الخاصة بالبطاقات 
الائتمانية. 

المشكلة هنا هي أن أصحاب ال محال التجارية هم من يقومون في أغلب الأحيان بعمليات 
تأمين الكثير من البيانات الخاصة بالبطاقات الائتمانية لعملائهم بصورة غير كافية. وق جزء 
من الدراسة الكبرى التي جرت عام ۲٠١۷‏ عن أصحاب المحال التجارية في الولايات المتحدة 
الأمريكية والاتحاد الأوروبيء وحدت الشركة الاستشارية فورسه ا" ا۴6۴5 أن أصحاب 
المحال التجارية يقومون عادة بالاحتفاظ بكميات هائلة من البيانات الخاصة بالبطاقات 
الائتمانية الخاصة بعملائهم» وتشتمل هذه البيانات على أرقام البطاقات وتواريخ انتهائها 
وأسماء وعناوين أصحابها. تحتفظ المؤسسات عادة بمعلومات أكبر بكثير من مجرد أرقام 
البطاقات الائتمانيةء ولاسيما تواريخ انتهاء البطاقات والأسماء والعناوين والرموز الأمنية. 
وف ظل الافتقار إلى التدابير والإجراءات الأمنية القوية لتقنية المعلومات المؤسسية: قد 
يؤدي هذا التأمين الضعيف ,لعلومات بطاقات الائتمان إلى العديد من الاختراقات والمشاكل 
الأمنية الجسيمة. 
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في أغلب الأحيان نجد أنه إما أن تكون عمليات التشفير والضوابط الأمنية الأخرى ضعيفة 
أو حتى غير مطبقة. وفي بعض الأحيان يمكن أن تواجة المؤسسات التي تقوم بمعالجة حجم 
هائل من المعاملات مخاطر ناجمة عن التراخي في عمليات معالجة المسائل الضرورية المتعلقة 
بالبطاقات الائتمانية للعملاء. وأمثلة على ال مخاطر والمشاكل ممكن مشاهدتها من خلال 
الأحداث التي وقعت في شركات تي جا إكس ×[1 عام .7٠٠١*‏ والتي تمتلك نحو ١0٠١‏ متجر 
من متاجر التجزئة. فقد تم اختراق نظم الحاسبات الخاصة بها للمرة الأولى بواسطة أحد 
قراصنة (1131©1) شبكة الإنترنت الذي تمكن من اختراق النظام والوصول إلى معلومات 
تتعلق بالتعاملات الخاصة بالبطاقات الائتمانية للعملاء وقد استمر ذلك لعدة شهور إلى أن تم 
اكتشاف أمره في عام ۲٠١٠‏ . وقد اشتملت تلك المعلومات على أسماء العملاء وأرقام بطاقات 
الائتمان الخاصة بنحو /٠,0؟‏ مليون بطاقة سحب وائتمان تم سرقتها من خلال معاملات تمت 
خلال الفترة من شهر يناير إلى شهر نوفمبر من السنة نفسها. فقد ضاعت خصوصية بطاقات 
الائتمان لدى العديد من العملاء وتعرضت شركة ×[1 لخسائر هائلة سواء كانت على الصعيد 
المادي جراء دعاوى التسوية القضائية أو على الصعيد الخاص بسمعتها. 

إن تلك الواقعة الخاصة بشركات ×[ ما هي إلا أحد الأمثلة على المخاطر التي مكن أن 
عرض لها المؤسسة فى حال كاذت الضوابط الخاصة ببطاقة الأكتمان لديها ضحيفة. .ومن المؤكد 
أن نظو لنا تغليل الأحدات الخاضة عكل هذه الاعترافات الأمدية مجموعة من فاط الفخف 
الأمنية الشائعة التي يتم معالجتها الآن من خلال معيار 155 801. فقد تم تصميم نوع خاص 
من الضوابط الأمنية لتقنية المعلومات» وهو معيار 1055 201 والذي يشتمل على متطلبات 
تفصيلية؛ تحديداء لهذا النوع من المخاطر - لتقليل فرص التعرض لإفشاء (تسريب) أو سرقة 
البيانات وكذلك تقليل التآثير الناتج جراء هذه السرقة أو إفشاء البيانات في حال وقوعه. تظهر 
التحقيقات التي تتم بشكل مستمر بعد هذه التعرضات للمخاطر الخاصة بإفشاء البيانات أو 
سرقتهاء بعض وليس كل الانتهاكات الشائعة الخاصة ممعيار 255 201 وهى: 


٠‏ ضوابط غير كافية على عملية الوصول للبيانات» وذلك من خلال التركيب غير السليم من 
قبل أصحاب اللحال التجارية لنظم نقاط البيع ۴08 الأمر الذي يسمح للمستخدمين 
الأشرار من الوصول إلى المسارات التي تستهدف موردي نقاط البيع 205. 


معايير أمن البيانات الخاصة بصناعة بطاقات الدفع (1055 201) وقواعد أخرى لحوكمة تقنية المعلومات 


٠‏ الافتقار إلى التقنيات الخاصة بعمليات التسجيل أو ام متابعة» مثل النظم الخاصة بمراجعات 
السجلات والكشف عن التسللات ومنعهاء والنظم المساعدة في إجراء المسوحات الربع 
السنوية لنقاط الضعفء والنظم المسؤولة عن متابعة سلامة الملفات. 

٠‏ تخزين بيانات الشريحة ا ممغنطة لبطاقات الائتمان. فالعديد من الكيانات التي تم 
إفشاء بياناتها لا يعلمون أن الأنظمة التي لديهم تقوم بحفظ مثل تلك المعلومات» مما 
يوفر كمية هائلة من المعلومات للمتسللين. 

ه عدم تغيير الإعدادات وكلمات المرور الافتراضية عند تركيب النظام. هذا بالإضافة إلى عدم 
إزالة الخدمات غير الضرورية وغير الآمنة أو تأمينها أثناء تثبيت النظام. 

٠‏ تطبيقات الويب سيئة التشفير تؤدي إلى نقاط ضعف قد تسممح بالوصول إلى قاعدة 
البيانات التي تحتفظ ببيانات أصحاب البطاقات من إحدى مواقع الإنترنت بشكل مباشر. 

٠‏ التطبيق السيئ للضوابط الخاصة بالتطبيقات الشبكية: الأمر الذي يعرض البيئة الخاصة 
ببيانات أصحاب البطاقات عن غير دراية إلى نقاط الضعف الموجودة في أجزاء أخرى من 
الشبكة التي م يتم تأمينها بعد. كنقاط الاتصال اللاسلكية غير المؤمنة والثغرات الناجمة 
عن استخدام الإيميل وتصفح الإنترنت. 

لسنا هنا بصدد تقديم درس تعليمي حول القضايا الأمنية الخاصة بتقنية المعلومات» 
وإنما بصدد تأكيد أن آمن تقنية المعلومات هو أحد العناصر الهامة في حوكمة تقنية 
الملعلومات» وأنه أيضاً أحد العناضر الحساسة ف ال معاملات المتعلقة بالبطاقات الائتمانية. إذ 
يستطيع المدير الأول (الأعلى) الاستعانة بالنقاط السابقة ليقوم بتوجيه أسئلة تتعلق بأمن 
وسلامة العمليات التشغيلية في المؤسسة فيما يخص البطاقات الإئتمانية. على كل حالء 
ما أن معظم معلومات بطاقات الائتمان يتم نقلها مباشرة من نقاط البيع حيث المكان 
الذي يتم فيه إتمام عمليات البيع عن طريق بطاقات الائتمانء فالقاعدة الأساسية التي 
يجب التأكيد عليها بالنسبة لأصحاب المحال التجارية هي عدم نقل تلك البيانات الخاصة 

بالبطاقات الائتمانية للعملاء داخليا على الإطلاق. 


دليل المستول التنفيذي لحوكمة تقنبة المعلومات a‏ 


الفصل الحادي عشر 


متطلبات معبار 1055 2):1: 
يجب على المؤسسة اتباع الخطوات اللازمة لتحقيق الامتثال لمعيار 1055 ۴٣1‏ وذلك 

من خلال تضافر الجهود بين كل من العاملين في تقنية المعلومات,. والتدقيق الداخلي» 

والقانونيين» والعامليين بالائتمان والشئون المالية. وقد تم تلخيص هذه الخطوات في الشكل 

التوضيحي )١-1١(‏ حيث سيكون لهذا المعيار المتطلبات التالية: 

٠‏ بناء شبكة آمنة والحفاظ عليها: تحدث الفصل العاشر من هذا الكتاب عن أهمية أمن 
تقنية المعلومات في المؤسسة. إلا أن قواعد معيار 555 201 تشترط أمرين محددين هنا: 
الأول هو أنه يجب على المؤسسة أن تقوم ببناء وتركيب إعدادات الجدران النارية على 
نظم تقنية المعلومات لديها وصيانتهاء وذلك لحماية بيانات حاملي البطاقات الائتمانية. 
ويعد مفهوم الجدران النارية من المفاهيم الشائعة بين العاملين في مجال أمن تقنية 
ا معلومات» غير أن هذا الأمر قد لا يكون شائعا لدى المسئول التنفيذي للأعمال. يمكننا 
النظر إلى الجدران النارية لتقنية المعلومات على أنها تشبه أبواب الخروج ذات الاتجاه 
الواحد الموجودة في معظم المسارح. حيث يستطيع الشخص ال مرور من خلال تلك الأبواب 
إلى الخارج في حال اندلاع حريقء ولا يستطيع أحد موجود في الخارج من استخدام تلك 
الأبواب للدخول. وبالرغم من أن الضوابط الخاصة بالجدران النارية أصبحت اليوم شائعة 
الاستخدام في العديد من بيئات أمن تقنية المعلومات: فإنه يتعين على المؤسسة التأكد من 
أنه قد تم تركيب وإعداد تلك الجدران النارية على عناصر نظم تقنية المعلومات لديها 
والتي تشمل البيانات الخاصة بالبطاقات الائتمانية. 

بالإضافة إلى ذلك. لا يجب على المؤسسة أن تستخدم الإعدادات الافتراضية المقدمة من 
قبل الطورد والخاصة بكل من كلمات المرور 23551950105 وغيرها من المعاملات والمحددات 
الأمنية الأخرى التي يقوم المورد بتقدهها. وهي ببساطة تعتبر من الممارسات الأمنية الجيدة 
التي يتم تجاهلها غالباً. فقد تطلب البرمجيات التي يتم توفيرها من قبل المورد من العملاء 
الجدد إدخال "١776"‏ كلمة مرور أولية عند الإعداد الأول للتطبيق» ومن ثم تغييرها مجرد 
تركيب التطبيق. وهناك العديد من المستخدمين الذين لا يُحَمَّلون أنفسهم عناء تغيير كلمة 
المرورء وهو الأمر الذي يجعل النظام دائما عرضة للاختراقات من قبل المتطفلين الساعين 

للوصول إلى البيانات. 


معايير أمن البيانات الخاصة بصناعة بطاقات الدفع (1055 01) وقواعد أخرى لحوكمة تقنية المعلومات 


٠‏ حماية البيانات الخاصة بحاملي البطاقات الإئتمانية: هناك العديد من الضوابط الأمنية 
لتقنية المعلومات التي تندرج تحت هذا المطلب متضمنا ذلك, عمل نسخ احتياطية من 
البيانات لاسترجاعها عند الحاجةء وتشفير البيانات أثناء تخزينها ونقلهاء وحفظ كل ما 
يتعلق بوسائط تقنية المعلومات الخاصة بأصحاب البطاقات الائتمانية في مواقع حقيقية 
المطالب الهامة لحوكمة تقنية المعلومات. 

٠‏ اتباع برنامج يقوم بإدارة الثغرات أو نقاط الضعف: تحدث الفصل الثامن من هذا 
الكتاب عن إدارة المخاطر الخاصة بتقنية المعلومات. وكان يجب أن يكون هناك تركيز 
بشكل خاص على التقنيات الخاصة بإدارة المخاطر وتقدير نقاط الضعف والثغرات الأمنية 
بالنسبة للبيانات الخاصة بالبطاقات الائتمانية المخزنة أو التي يتم معالجتها من خلال 
موقع المؤسسة. كما ينبغي أيضا أن يقوم قسم تقنية المعلومات في المؤسسة باستخدام 
برامج محدثة بشكل دوری ضد الفيروسات للتنيؤ بالبرامج الضارة. 

Je‏ تطسق إجراءات وتدابير قوية وصارمة لذ لضط الوصول للسانات: تعد | لعمليات القوية 
لأمن تقنية المعلومات من الأمور الضرورية لتحقيق هذا المطلب. حيث تستخدم بعض 
التقنيات الرقابية الرئيسية لتحقيق ما يلي: 

ه فرض القيود على عمليات الوصول الحقيقية لبيانات أصحاب البطاقات الائتمانية. 
© اقتصار عمليات الوصول إلى بيانات أصحاب البطاقات فقط على الأعمال التي تحتاج 
إلى تلك البيانات فعلا. 
0 تخصيص معرف فريد (11 11110106 لكل شخص يصل إلى البيانات عبر الحاسب الالي. 
هذه هى بعض الضوابط الرئيسية الخاصة بعملية الوضول إلى تقنية المعلومات. ومكن 
لمسئولي الأعمال التنفيذيين أن يطلبوا من الموظفين المسؤولين عن أمن تقنية ال معلومات 
تقديم شرح ته تفصيلي عن التقنيات المستخدمة لضبط عملبيات الوصول إلى تقنية المعلومات 
في المؤسسة. وعلى الرغم من أن هناك العديد من المصادر المطبوعة وكذلك المنشورة على 
شبكة الويب بشأن معلومات حول الضوابط الخاصة بالوصول وأمن تقنية المعلومات» 


دلبل المسئول التنفيذي لحوكمة تقنية المعلومات ۳00 


الفصل الحادي عشر 


فإن مؤلف هذا الكتاب قد قام بوضع كتاب آخر“ حول تلك الموضوعات الموجهة لمدققي 
تقنية المعلومات: غير أنها قد تزود مسئولي الأعمال التنفيذيين ببعض ال ملخصات الجيدة عن 
المعلومات الأساسية لأمن تقنية المعلومات. 


٠‏ مراقبة وفحص الشبكات بشكل منتظم: يجب على المؤسسة تعقب ومراقبة جميع 
عمليات ومحاولات الوصول إلى موارد الشبكة وبيانات أصحاب البطاقات الائتمانية. 
فبالإضافة إلى الشرط أو المطلب الخاص بالرقابة والتتبعء قان محبار 2611255 يشترط أيضا 
أن تقوم المؤسسة بفحص النظم والعمليات الأمنية الخاصة بها بصورة منتظمة. وتكون هذه 
المهمة غالبا من مسؤولية وحدة التدقيق الداخلي ومدققي تقنية المعلومات المتخصصين. 
وسنناقش بمزيد بالتفصيل في الفصل التاسع عشر من هذا الكتاب قضايا التدقيق الداخلي 
الخاصة بحوكمة تقنية المعلومات. 

« اتباع سياسة لأمن المعلومات: تدعو هذه السياسة الأخيرة الخاصة معيار 80:1 
5 المؤسسات إلى اتباع السياسات التي تعالج قضايا أمن المعلومات. وهذا مشابه جدا 
للعمليات الأخرى لحوكمة تقنية المعلومات التي تم الحديث عنها في العديد من الفصول 
المختلفة لهذا الكتاب. وتعد هذه السياسات من الأمور الهامة بالنسبة للمؤسسة للتعرف 
على أفضل الممارسات التي من الضروري تطبيقهاء غير أنه من الضروري أيضاً إيصال تلك 
السياسات لجميع أصحاب المصالح لتكون قواعد عامة يجب اتباعها. 

تعد الشروط أو المتطلبات الخاصة بمعيار 201155 التي تم ذكرها أعلاه أكثر تحديدا 
من الإرشادات العامة التي سيتم تناولها في هذا القسم. إذ إن أكثر مديري الإدارة العليا 
سيبحثون عن العايير رفيعة المستوى. في حين سيبحث أخصاني أمن الحاسبات في تقنية 
المعلومات عن متطلبات أكثر تفصيلا. على سبيل المثاله يحتوي الشكل التوضيحي (١١-؟)‏ 
على الإرشادات الخاصة معيار آمن البيانات 1255 لواحد من هذه المتطلبات. فهذه المعايير 
تكون على مستوى مدقق تقنية المعلومات الماهر أو المتخصص في أمن تقنية المعلومات. 
النقطة الرئيسية هنا هي أنه يجب على المؤسسة إيجاد بعض الإجراءات الرقابية القوية 
للمحافظة على الامتثال لقواعد معيار 1055 201. 


معايير أمن البيانات الخاصة بصناعة بطاقات الدفع (1055 01) وقواعد أخرى لحوكمة تقنية المعلومات 


بالنسبة للمؤسسات المتوسطة والكبيرة التي مع الوقت قد اكتسبت الخبرة في بناء 
وتشغيل نظم تقنية المعلومات الخاصة بهاء فقد تبدو تلك المتطلبات الخاصة بقواعد 
معیار 155 P٤1‏ أكثر قليلا من الممارسات الجيدة للرقابة الداخلية والشائع استخدامها 
والتي تعتبر بمثابة متطلبات رئيسية لتحقيق الإمتثال لقانون ×50 كما وضحنا في الفصل 
الثاني من هذا الكتاب. في جميع الأحوال فإن الاختلاف الرئيسي هنا هو أن المؤسسة لن 
تخضع أبدا لعملية التدقيق الخارجي اللازمة للتصديق على مستوى امتثالها لمعيار ۲٣1‏ 
5 . وإنما تدعو المعايير في هذه الحالة معظم المؤسسات التي تمارس القليل من نشاط 
البطاقات الائتمانية للقيام مراجعة وتأسيس امتثالها لمعيار 1055 201, وذلك من خلال 
عملية التدقيق والتقييم الذانى. 

شكل توضيحي (١١-؟)‏ 
المتطلبات الخاصة بتتبع ومراقبة الوصول إلى موارد الشبكة وبيانات أصحاب البطاقات 


تلك العمليات التي تتم من خلال الامتيازات الإدارية. 


| ؟. تطبيق الرقابة الآلية للمسارات على جميع مكونات النظام لإعادة بناء الأحداث التالية: 


- جميع العمليات الفردية التي يقوم بها المستخدم للوصول إلى بيانات أصحاب البطاقات. 
- جميع الإجراءات التي ينفذها المستخدمون أصحاب الامتيازات الإدارية أو الأصلية. 
- الوصول إلى جميع مسارات التدقيق. 
- محاولات الوصول المنطقية غير السليمة. 
- استخدام تقنيات التعريف والتوثيق. 
- تهيتة سجلات التدقيق. 
- إنشاء وحذف كائنات على مستوى النظام. 
ظ ۳. القيام بتسجيل اللدخلات ومسارات التدقيق اللمتعلقة بكل حدث من الأحداث التي تمت على جميع ظ 


| مكونات النظام» والتي تشتمل على الأقل على هوية المستخدم ونوع الحدث والوقت والتاريخ ومؤشر نجاح 
| أو فشل الحدث وبداية الحدث وهوية كل من البيانات أو مكون النظام أو المورد الذي تأثر بهذا الحدث. 





دليل المسئول التنفيذي لحوكمة تقنية المعلومات FOV‏ 


الفصل الحادي عشر 


ظ ضوابط للحصول على الوقت وتوزيعه وحفظه. 


| 0. تأمين مسارات التدقيق بحيث لا يُسمح بتعديلها. 


35 مراجعة السجلات الخاصة بجميع مكوتات النظام المتصلقة بالمهام الآمبية فة ق اليم على الأفق. 


| . الاحتفاظ بتاريخ مسارات التدقيق لمدة عام واحد على الأقل. ولا بد أن يكون هناك سجلات لثلاثة 
أشهر على الأقل من التاريخ الحالي متاحة أو متوفرة للتحليل. 





عملية التقييم الذاتي لمعيار 155 01 : 

لكي تتأكد المؤسسة من امتثالها أو اتباعها لبعض المتطلبات الخاصة بأحد المعابير, 
فمن الطبيعي ومن الضروري أيضا الاستعانة بطرف خارجي لفحص هذا الامتثال والتأكد 
من مدى تطبيقه. على سبيل المثال» من الضروري أن يقوم المدققون الخارجيون (مكاتب 
التدقيق الخارجي) - مكاتب المحاسبة القانونية في الولايات المتحدة الأمريكية؛ بمراجعة 
القوائم المالية الخاصة بالمؤسسة والتصديق على مدى صحتها. ومن الضروري أيضا أن 
يكون هناك مراجعون متخصصون مستقلون يقومون بمساعدة المؤسسة على التأكد من 
مدى امتثالها لأي معيار من معايير الأيزو متضمنة تلك التي تحدثنا عنها في الفصل السابع 
من هذا الكتاب. ولكن نظراً لوجود عدد كبير من المحال التجارية - الصغيرة نسبيا غالباً - 
التي تتعامل مع بيانات البطاقات الإئتمانيةء ونظراً لأن تكلفة الاستعانة بمراجعين خارجيين 
ستكون مرتفعة بعض الشيء؛ فقد سمحت منظمة المعايير الخاصة بصناعة بطاقات الدفع 
للمؤسسات بالقيام بتنفيذ نشاط التقييم الذاق للتحقق من امتثالها للمعايير الصناعية. 

إن استببان أو استطلاع التقييم الذالي Self-Assessment Questio1 "aire (SAQ)‏ 
الخاص معيار 1055 ۴٣1‏ ما هو إلا أحد الأدوات االمستخدمة لمساعدة أصحاب اللحال 
التجارية ومقدمي الخدمات على القيام بعملية تقييم ذاتي لمعرفة مدى التزامهم وامتثالهم 
طعيار 1055 20:1. ويمكننا إيجاد العديد من النسخ التفصيلية الخاصة معايير التقييم 
الذاتي من خلال زيار الموقع www.pcisecuritystandards.org/security_standards/‏ 
نام.<120. حيث تدعو تلك المعايير الخاصة بالتقييم الذاتي إلى ما يلي: 
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« بناءً على التوجيه الخاص مجلس المعايير الأمنية الخاصة بصناعة بطاقات الدفع 50:1 
حول "اختيار استبانة التقييم الذاتي والتصديق على أفضل تطبيق لها على ا منظمة الخاصة 
بك". فإنه يجب على المؤسسة اختيار استبانة التقييم الذاتي المناسبة لمقدمي الخدمات 
وأصحاب ال محال التجارية لديها. 


ه بعد اكتمال الاستبانة المناسبة للتقييم الذاتي ©5480 بنجاح» تستطيع المؤسسة التصديق 
على شهادة ذاتية تدل على انها مؤهلة لتنفيذ (بل وانها نفذت) بالفعل نشاط التقييم 
الذاتي الخاص بالامتثال لمعيار 1055 201. 

طبقا لمتطلبات المعايير الصناعية فإنه ينبغي على جميع المستخدمين الرئيسيين للبطاقات 
الائتمانية الاستعانة مُقَيّم مستقل للقيام بمراجعة هذا الامتثال. وهذا مشابه للمراجعات 
الخاصة بالامتثال بمعايير المنظمة الدولية للمواصفات وال معايير 150 التي تحدثنا عنها في 
الفصل السابع من هذا الكتاب. حتى بالنسبة للمؤسسات الأصغر حجماء فإن الامتثال 
معايير أمن المعلومات ممكن أن يعود بالنفع والفائدة على أعمالهاء في حين أن عدم الامتثال 

بها قد يؤدي إلى عواقب وخيمة وخطيرة طويلة الأجل. إن الامتثال بقواعد معيار 50:1 

5 هام للأسباب التالية: 

٠‏ الامتثال لمعيار 1055 01 يعني أن النظم آمنة» وأنه هكن للمستخدمين الوثوق بالمؤسسة 
فيما يتعلق بالمعلومات الحساسة الموجودة في بطاقاتهم الائتمانية. 

ه الأمتثال يحسق من سمعة ومكانة المؤسسة لدى الفترين وشركات اللدفوعات من 
أصحاب العلامات التجارية - الشركاء الذين تحتاج إليهم للقيام بالأعمال التجارية. 

الامتشال هو عملية مستمرة ودائمة» ولا مكن أن تكون عبارة عن عملية تحدث لمرة 

واحدة فقط. ويساعد الامتثال في منع المخالفات أو الاختراقات الأمنية الحالية والمستقبلية: 

كما هنع سرقة بيانات بطاقات الدفح. ونظرا لأن عمليات إفشاء (تسريب) البيانات 

أصبحت الآن متطورة أكثر من أي وقت مضىء نرى أن مجلس اللمعايير الأمنية الخاصة 
بضباعة بطاقات الدقع 861 يعمل دايا على مراقبة التهديدات وتحسين الؤسائل الضتاعية 
المستخدمة للتعامل معهاء وذلك من خلال إجراء التحسينات على المعابير الأمنية الخاصة 

بصناعة بطاقات الدفع وإجراء التدريبات اللازمة للمختصين في المجال الأمني. 
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كم أن للامتثال فوائد غير مباشرةء فقد يساعد المؤسسة على أن تكون في وضع أفضل 
فيما يخص امتثالها بلوائح تنظيمية أخرى مثل قانون إخضاع التأمين الصحي لقابلية النقل 
وا محاسبة Health Insurance Portability and Accountabilhy Act (HIFAA)‏ الذي 
ستتحدق عه لاحقا في هذا الفصل» واا كالامتثال لقانون سارسنز أوكسلي 50 الذي 
تطرقنا إليه في الفصل الثاني من هذا الكتاب. بعبارة أخرىء مكن أن نقول إن هذا التقييم 
الذاتي قد يوفر القاعدة الأساسية للإستراتيجية الأمنية للشركةء وقد يحدد أساليب لتحسين 
فاعلية البنية التحتية لتقنية المعلومات. 


قانون جرام ليتش بليلي (61142131-1:58611-181:11.57) في القواعد الخاصة بحوكمة 
تقنبة المعلومات: 

في أواخر تسعينيات القرن الماضى أقر مجلس النواب الأمريك قانونا لتغيير بعض القواغد 
المعمول بها في المؤسسات الالية القائمة منذ الكساد العظيم الذي حدث ف ثلاثينيات القرن 
الماضي. وقد غرف هذا القانون الجديد رسمياً باسم قانون تحديث القطاع المالي لسنة 
8, والذي اشتهر أكثر باسم قانون جرام ليتش بليلي Gramm Leach Bliley Act)‏ 
84" ). هذ القانون عبارة عن مجموعة من المتطلبات المتعلقة بالخصوصية والهادفة 
لحماية المعلومات اطالية الشخصية الخاصة بعملاء المؤسسات امالية. ويتكون هذا القانون 
التشريعي المتعلق بالخصوصية من ثلاثة أجزاء رئيسية هي: )١(‏ قاعدة الخصوصية المالية 
و(۲) قاعدة الحماية و(*) ما يعرف باسم "أحكام التحجج الاحتيالى" (استخدام الأكاذيب 
للوصول لبيانات الآخرين) 21011510135 2816167]128. بينما مم يسمع المهنيون قط بمفهوم 
"التحجج الاحتيالى" الذي جاء به هذا القانون» فإنه سيتم مناقشة هذا المفهوم واعتباراته 
الخاصة بحوكمة تقنية المعلومات الموجودة في مواد أخرى من هذا القانون في الأجزاء 
اللاحقة. ممنح هذا القانون 1884© السلطة إلى ماني وكالات وولايات اتحادية أمريكية 
رسمية مختلفة للقيام بإدارته. كما يفرض هذا القانون أيضاً مجموعة جديدة من القواعد 
المتعلقة بالخصوصية التي يتم تطبيقها على المؤسسات ال معروفة عموما باسم "المؤسسات 
المالية". ولا نعني بهذه المؤسسات البنوك. وشركات التورقء وشركات التأمين التقليدية 
فحسبء ولكن نعني ا المؤسسات التي تقدم لعملائها أنواعا مختلفة من ال منتجات 
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والخدمات المالية كخدمات الإقراض. والوساطة: ومختلف أنواع القروض الاستهلاكية: 
وخدمات نقل وحماية الأموال. وخدمات إعداد الإقرارات الضريبية الفردية» وخدمات 
تقديم النصائح المالية والاستشارات الائتمانيةء وخدمات التأسيس العقاري السكني» 
وخدمات تحصيل القروض الاستهلاكية وغيرها من الخدمات المالية الأخرى. وفي ظل 
قانون كظ.[) فإن لجنه التجارة الاتحادية أو الفيدرالية Federal Trade C01212i$$i01)‏ 
)۴٣‏ هي التي تقوم الآن بالإشراف على تلك "المؤسسات الالية " غير التلقيدية» سواء كان 
ذلك بشكل مباشر أو من خلال الوكالات الرسمية والاتحادية. 


وعلى الرغم من أن المدير الأول الذي يعمل لصالح أحد البنوك أو شركات التأمين في الوقت 
الراهن قد يكون هو المعني بهذا القانون وبأحكام الخصوصية التابعة له إلا آنه يمكن اعتباره 
القاعدة التي تستطيع التأثير في العديد من المؤسسات الأخرىء وذلك بسبب المعنى الواسع 
للمصطلح المعروف "بال مؤسسات اطالية". وقد تم تطبيق قواعد هذا القانون على العديد من 
المؤسسات المالية الخاضعة للوائح الرسمية. على سبيل ال مثالء قد تم تنظيم شركات التأمين في 
الولايات المتحدة على أساس كل ولاية على حدةء وذلك من خلال الجمعيّة الوطنيّة لمفوضي 
التأمين «National Association of Insurance Commissioners (NAIC)‏ و التي تعمل 
بصفة مجموعة مركزية لتنسيق ووضع المعايير لتلك اللجان المعتمدة في الولاية. وأن هذا 
التحالف أو المجموعة 71410 هي التي تفرض قواعد التفويض الاتحادية لقانون 6184 
على شركات التأمين المستقلة التابعة لها والمنظمة من قبل الولاية الموجودة فيها. وهذا مثال 
آخر يوضح كنف تننقل اللوائح القانونية الاتحاذية في الولايات المتحدة ف بعض الأحيان من 
سلطة الدولة الأمريكية كهيئة الأوراق المالية والبورصة الأمريكية 5860 المعنية بأمور قانون 
1 إلى قواعد على مستوى قوانين الولاية الواحدةء هذا إلى جانب بعض القواعد اطالية 
العالمية المشابهة. فنحن ننسى غالبا أن بعض اللوائح القانونية للشركات والعديد من المبادئ 
التشريعية الأخرى في الولايات المتحدة تكون فعالة طبقاً لكل ولاية على حدة. فعلى سبيل 
المثالء يتم إصدار رخص قائدي ال مركبات من قبل كل ولاية على حدة. وبا مثلء فإنه وعلى 
الرغم من أن إذارة الاختبارات الخاصة بالحصول على شهادة محاسب قانوني 24© تتم محليا 
من قبل الجمعية الأمريكية للمحاسبين القانونيين 410284 إلا أن رخص ال محاسبين القانونيين 
8 يتم منحها تبعا لكل ولاية عن طريق مجلس المحاسبة الخاص بالولاية. فمن خلال 
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سلطة الجمعية الوطنية لمفوضي التأمينء وهو الكيان المعني بتنسيق القواعد داخل الولاية, 
فقد تم تبني واعتماد قواعد قانون 61:84 من قبل معظم الولايات في الولايات المتحدة 
الأمريكية. 


قواعد الخصوصية المالية لقانون 84۸]ي: 

يواجه المستخدمون غالبا هذه الأيام داغل الولايات المتحدة قانون 6184 وقواعد 
الخصوصية المالية الخاصة به عند استلامهم إشعارات مفيدة من مقدم خدمة البطاقات 
الائتمانية تصف لهم قواعد الخصوصية الخاصة ببطاقاتهم الائتمانية. حيث تشترط قواعد 
الخصوصية المالية لقانون 6184 من المؤسسات المالية أن تقوم بتزويد عملائها بإشعارات 
وملاحظات حول الخصوصية المالية المتبعة لديهم والتي توضح لهم الممارسات التبعة في 
المؤسسة المالية لجمع وتبادل البيانات. ويجب أن يكون إشعار الخصوصية هذا واضحا جداً 
وبارزا وبه إفصاح دقيق عن ممارسات الخصوصية المتبعة في الشركة. كما يجب أن يحتوي 
هذا الإشعار على معلومات قامت الشركة بجمعها عن عملائها وكذلك من المستهلكنء 
وأيضاً معلومات تتعلق بالجهات التي تتبادل معها الشركة المعلومات الخاصة بالبطاقات 
الائتمانية» ومعلومات عن الكيفية التي تقوم بها الشركة بحماية وصيانة هذه المعلومات. 
يطبق الإشعار على "المعلومات الخاضة الشخصية" للمستهلكين والعملاء التابعين للشركة 
والتي تقوم الشركة بجمعها والإفصاح عنهاء إلا أنه على الصعيد العملي يمكن أن يطبق على 
معظم أو كل بيانات العملاء الموجودة لدى الشركة. على سبيل المثال» اللعلومات الشخصية 
الخاصة قد تكون المعلومات التي يقوم المستهلك أو العميل بإدخالها أثناء استخدامه 
لتطبيقات العقود الائتمانية أو عقود البيع» أو معلومات تتعلق بشخص ما يمكن الحصول 
عليها من مصدر آخر كالمكاتب الائتمانيةء أو معلومات عن العمليات التي تتم بين الشخص 
والشركة كا معلومة التي تتعلق بالرصيد الموجود في الحساب مثلا. في الحقيقة واعتمادا على 
قانون 61:84 يتم تصنيف المعلومات الخاصة بأي شخص يُدرج اسمه في قائمة العملاء أو 
المستهلكين التابعين لمؤسسة مالية محددة على أنها معلومات خاصة شخصية. ولا تخضع 
المعلومات التي تعتقد المؤسسة لسبب ما بأنها معلومات عامة قانونيا لقانون 61.84: مثل 
معلومات قروض الرهن العقاري في الجهة القضائية التي يتم تسجيلها علنا. 
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وبناء على قانون 61.84 فإنه يجب أن تحتوي إشعارات الخصوصية على ال معلومات التالية: 
٠‏ أنواع المعلومات الخاصة الشخصية للعملاء التي تقوم المؤسسة بجمعها. 
٠‏ أنواع المعلومات الخاصة الشخصية للعملاء التى ستقوم المؤسسة بالإفصاح عنها للآخرين. 


٠‏ الأطراف التي ستبيح لها المؤسسة الاطلاع على هذه ال معلومات» من غير الأطراف الخاضعة 
للحظر في عدم الإفصاح عن المعلومات. 
٠‏ أحقية العميل أو المستخدم بالاعتراض على الإشعار ووجود قواعد توضيحية بسيطة عن 
آلية رفع تلك الاعتراضات. 
٠‏ السياسات المتبعة في المؤسسة بخصوص مشاركة بيانات شخص م يعد الآن من أحد 
عملائها أو زبائنها. 
٠‏ الإجراءات المتبعة في المؤسسة لحماية خصوصية وأمن المعلومات الخاصة الشخصية 
لزبائنها وعملانها. 
لا يكترث الكثير من المستهلكين هذه الأيام بتلك الإشعارات» على الرغم من أنها يمكن 
أن تصرح عن رغبة الشركة المالكة للبيانات الخاصة بحسابات العملاء بالقيام بمشاركة اسم 
العميل مع الآخرين. فبدلا من هذه الممارسة المستخدمة كثيرا من المستهلكينء والتي 
هي إتلاف وإهمال الإشعارات أو الملاحظات. فإن قانون 6184 يعطي الحق للمستهلك 
بأن يقوم بالاعتراض على قيام الشركة مشاركة تلك ال معلومات الخاصة به مع الأطراف 
الأخرى. ويجب أن يوضح الإشعار - وغالبا بطريقة معقولة ومنطقية - الطريقة التي مكن 
اتباعها من قبل المستهلكين لتقديم اعتراضاتهم. على سبيل ال مثال» طريقة توفير رقم هاتف 
مجاني للاعتراضات والشكاوى أو توفير نموذج منفصل يحتوي على العنوان تعتبر من الطرق 
المعقولة للاعتراض بالنسبة للمستهلكين والعملاءء أما مطالبة الأشخاص بأن يقوموا بكتابة 
رسالة اعتراضية كوسيلة وحيدة لتقديم اعتراضاتهم لا تعتبر أبداً طريقة معقولة ومقبولة. 
كما يجب أن يوضح إشعار الخصوصية أيضاً أن للمستهلكين الحق (أن يقولوا لا) بالنسبة 
للسماح بمشاركة معلومات محددة تخصهم. مثل مشاركة معلومات تقرير أو تطبيق 
ائتماني مع الأقسام أو الفروع المستقلة عن المؤسسة المالية. 
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يضع قانون 61.84 بعض القيود على الكيفية التي يمكن من خلالها لأي شخص يستقبل 
معلومات شخصية خاصة من إحدى المؤسسات اطالية أن يقوم باستخدام تلك المعلومات أو 
إعادة الإفصاح عنها. فإذا قام اا بالإفصاح عن معلومات العميل لمزود الخدمة المسؤول 
عن بيانات الحسابات البريدية - حيث لا يحق للعميل الاعتراض على ذلك - فإنه ينبغي على 
مزود الخدمة هذا أن يقوم باستخدام تلك البيانات لأهداف محددة فقط - كإرسال بيانات 
الحسابات البريدية - ولا ينبغي عليه بيع أو استخدام هذه البيانات لأغراض تسويقية. 

إن مبدأ الخصوصية المالية الخاص بقانون 1:84 © سيكون أكثر تعقيداً عندما نخوض 
أكثر في أمور تفصيلية تابعة له. في جميع الأحوالء نحن لا نهدف هنا إلى عرض هذا 
الشرح التفصياي المتعلق بتلك الجزئية من قانون 61.84 وإنما هدفنا هو فقط توضيح 
هذه القواعد المتعلقة بالخصوصية وتأثيراتها في حوكمة تقنية المعلومات بشكل عام. لذا 
يجب على مديري المؤسسات إدراك أن كل المعلومات الشخصية الخاصة تعد معلومات 
سرية للغاية ولا يمكن القيام ببيعها أو نشرها دون مبرر. وأن للمستهلكين أن يعترضوا وآن 
يقولوا لاء ويجب على المؤسسة الاحتفاظ بشكل ملائم بتلك السجلات الخاصة بالاعتراضات 
المقدمة» وأن يتم احترام حقوق المستهلكين في الخصوصية. وينطبق الأمر نفسه على أي 
مؤسسة تقدم تسهيلات منح اثتمانية ودفع فواتير خاصة بالمستهلكين. وتعرّض المؤسسة 
نفسها للمخاطر عندما تتعامل مع مبدأ الخصوصية الخاص بقانون 6184 كما لو كان عبارة 
عن أمر بسيط أو تافه أو إلى حد ما هام» فعدم الالتزام والإخلاص في التعامل مع أي من 
طلبات الاعتراضات المقدمة: أو البيع غير الصحيح للقاتمة البريديةء قد يعرض المؤسسة إلى 
رفع بعض أنواع الدعاوى القضائية جراء الأضرار الناجمة عن عدم الالتزام بمبدأ الخصوصية 
الخاص بهذا القانون. 


قاعدة الحماية في قانون 01.84: 

إن قاعدة الأساليب الوقائية لقانون 6184 تطلب من المؤسسات الالية بأن يكون 
لديها خطة أمنية معمول بها لحماية خصوصية وسلامة المعلومات الشخصية للعملاء. 
فعندما يقوم العملاء بفتح حسابات جديدة. أو يقوموا بإجراء عمليات شراء منتجات» 
فإنهم يفصحون عن بعض معلوماتهم الشخصية. كالعنوان ورقم الهاتف أو رقم بطاقة 


لت دليل المسئول التنفيذي لحوكمة تقنية المعلومات 


معايير أمن البيانات الخاصة بصناعة بطاقات الدفع (1055 501) وقواعد أخرى لحوكمة تقنية المعلومات 


الاتتمان كجزء من إجراء المعاملات الخاصة بالتطبيق. لذا يجب أن يكون لدى المؤسسة 
خطة أمنية معمول بها لحماية سرية وسلامة هذه البيانات الشخصية التي قام المستهلك 
بالإفصاح عنها. كما يجب أن تشتمل هذه الخطة على ما هو أكثر من مجرد مخاطر 
متعلقة باستمرارية الأعمال» التي تحدثنا عنها بإيجاز في الفصل العاشر من هذا الكتاب» بل 
يجب أن تشتمل أيضا على ضوابط خاصة للنع القراصنة 1361655 من الوصول إلى ملفات 
البيانات» ومنع الموظفين الموتورين أو الناقمين من الوصول إلى معلومات العملاءء ومنع أي 
اون حت لو كان سيظا. كما تطلب قافنة الأساليت الوقافة الخاصة انون 618A‏ 
من كل مؤسسة مالية» بغض النظر عن حجمهاء بل وتفرض عليها بأن تقوم بوضع وتنفيذ 
خطة مكتوبة لأمن المعلومات لحماية بيانات العملاء. بحيث يتناسب نطاق هذه الخطة 
الأمنية ودرجة تعقيدها تناسبا طردياً مع حجم المؤسسة وحساسية المعلومات التي تحتفظ 
بها. ويجب أن تكون هذه الخطة قائمة على عملية تحليل المخاطر التي تعمل على تحديد 
كل التهديدات المتوقعة بالنسبة لأمن وسرية وخصوصية وسلامة معلومات العملاء. وبناء 
على هذه العملية التحليلية للمخاطرء فإنه ينبغي على المؤسسات امالية توثيق وتطبيق 
التدابير والإجراءات الأمنية:» التي تتضمن أيضا التدابير والإجراءات الإدارية مثل تدريب 
الموظفين على وسائل الحماية التقنية. متضمنا ذلك تدريبات حول استخدام كلمات المرور 
وضوابط التشفير والجدران النارية. كما تشتمل هذه التدابير والإجراءات الأمنية كذلك 
على الاحتياطات الوقائية المادية مثل الأقفال الموجودة على الأبواب وأجهزة الحاسب الآلى. 
كما يجب على المؤسسات المالية أن تقوم بتخصيص واحد أو أكثر من موظفيها لكي يقوم 
بتنسيق وتنظيم تلك الأساليب الوقائية. كما يتعين على تلك المؤسسات أيضا القيام بإجراء 
مراجعات دورية لتحديد ما إذا كانت البرامج الأمنية المتبعة فيها جيدة أم بحاجة إلى 
تعديل في ظل الظروف المستجدة. 

تستطيع المؤسسة أن تثبت امتثالها للقاعدة الخاصة بالأساليب الوقائية من قانون 
6184© من خلال الخطوات التالية: 
-١‏ تحليل المخاطر البيئية المحيطة: يجب على المؤسسة أن تحدد بشكل رسمي جميع 

المخاطر الداخلية والخارجية المتعلقة بأمن وخصوصية وسلامة المعلومات الشخصية 


دليل المستئول التنفيذي لحوكمة تقنية ا معلومات ۳10 


الفصل الحادي عشر 


لجميع العملاء. وقد سبق الحديث عن الطرق التحليلية للمخاطر في الفصل الثامن 
من هذا الكتاب. ويجب أن تغطي تلك العملية التحليلية مخاطر أو فقدان أو الإفصاح 
عن جميع مصادر المعلومات الشخصية: سواء كانت موجودة على الأنظمة الآلية أم في 
السجلات اليدوية. 


؟- تصميم وتطبيق الإجراءات الوقائية: إن الإجراءات الوقائية هي بالأصل عبارة عن 
إجراءات الرقابة الداخلية التي تم الحديث عنها في الفصل الرابع من هذا الكتاب كجزء 
من إطار الرقابة الداخلية الخاص بلجنة المنظمات الراعبة (6050). 

*. المتابعة والتدقيق: يجب أن تكون هناك عمليات متابعة مستمرة لضمان القيام 
بعمليات التدقيق. كما يتعين على الإدارة العليا تشجيع مدققيهم الداخليين بأن يضعوا 
دولا شما متعظيا لسلسلة مق ار اجات للتسقق مخ مدقف ماد أو كفارة خطة أمن 
المعلومات في المؤسسة إلى جانب اختبارات الامتثال المناسبة. 

.٤‏ برنامج ثابت للتحسينات: نتيجة منطقية لأي نقطة ضعف أو ثغرة يتم الإبلاغ عنها 
من خلال عمليات التدقيق أو آي فحوصات آخرىء» فإنه يجب أن يكون لدى المؤسسة 
برنامج معمول به يعمل بشكل مستمر على إجراء التحسينات اللازمة على خطة أمن 
المعلومات لديها. ويجب أن يكون هذا البرنامج موثقا جيدا وأن يصف التحسينات التي 
طرأت على الخطة. 

5. الإشراف على مزودي خدمات أمن المعلومات والشركاء: قد يكون للعديد من الشركاء 
وا مؤسسات الأخرى أحقية الوصول إلى المعلومات الشخصية تلك نفسهاء أو رما يكون 
لديهم فقط إمكانية الدخول إلى وصلات شبكات النظم التي يمكن من خلالها انتهاك 
الخضوضية الشخصية للبيانات. فهناك حاجة لسياسات وضوايط وإجراةات تدقيق 
ملاءمة معمول بها على نحو جيد لمنع الانتهاكات. 
تطبق قاعدة الأساليب الوقائية لقانون 6184 على مجموعة كبيرة من مزودي المنتجات 

والخدمات المالية. متضمنين وسطاء الرهن العقاري وجهات الإقراض غير المصرفية والمثمنين 

ووكالات إعداد التقارير الائتمانية ومعدي الضرائب المهنية. هذا بالإضافة إلى تجار التجزئة 
الذين يقومون بإصدار بطاقات ائتمانية خاصة بهم وبأعمالهم. ولا تخضع البنوك لقاعدة 


۳٦‏ دليل المسئول التنفيذي لحوكمة تقنية المعلومات 


معايير أمن البيانات الخاصة بصناعة بطاقات الدفع (1055 01) وقواعد أخرى لحوكمة تقنية المعلومات 


الأساليب الوقائية الخاصة بقانون 6184 ولكنها يجب أن تمتثل للوائح تنظيمية مناظرة 
أو مشابهة لها قد تم إصدارها من قبل الوكالات الاتحادية للأعمال المصرفية. وقد ينتج عن 
عدم الامتثال لقاعدة الأساليب الوقائية لقانون 6184 فرض الغرامات أو بعض الإجراءات 
التنفيذية من قبل هيئة التجارة الفيدرالية .Federal Trade Commission (FTC)‏ 


قوانين حظر التحجج الاحتيالي 15]اء]7:م في قانون 1.84 0: 

منع قانون 1,84 "التحجج الاحتيالي" - ذلك التعبير الذي يشير إليه المدقق الإملان 
في برنامج معالج النصوص وورد 110:4 على أنه خطأ إملائي - والذي يقصد به استخدام 
الادعاءات والأساليب الكاذبة: متضمنا ذلك استخدام البيانات ال مزورة أو القيام بانتحال 
شخصية ما من أجل الحصول على المعلومات اطالية الشخصية الخاصة بالعملاء مثل معرفة 
الأرصدة البنكية الخاصة بهم. حيث يقوم المزورون أو المخادعون باستخدام مجموعة 
متنوعة من الأساليب للحصول على المعلومات الشخصية. على سبيل المشالء قد تقوم 
إحدى المخادعات بإجراء مكالمة هاتفية تدعي فيها العمل لدى شركة تقوم بإجراء دراسات 
استقصائية» ثم تقوم بطرح بعض الأسئلة التي تهدف من خلالها إلى الحصول على اسم 
احد البنوك على سبيل المثال» ثم تقوم بعد ذلك باستخدام تلك المعلومات التي قامت 
بالحصول عليها لتقوم بإجراء مكالمة هاتفية مع المؤسسة المالية التي تحتفظ بمعلومات 
الشخص المستهدف متظاهرة بأنها هي ذلك الشخص المستهدف أو بأنها هي الشخص الذي 
ملك صلاحية الوصول إلى حسابه. وقد تدعي بأنها نسيت دفتر الشيكات الخاص بها وأنها 
بحاجة بلعلومات عن الحساب. فبهذه الطريقة قد تتمكن تلك المخادعة من الحصول على 
بعض ال معلومات الشخصية للضحية المستهدفة كرقم الضمان الاجتماعي أو رقم الحساب 
البني أو رقم بطاقة الائتمان أو معلومات عن التقارير الائتمانية أو وجود وحجم المدخرات 
الشخصية والمحافظ الاستثمارية. 

ومموجب أحكام قانون 61:84 الخاصة بالادعاءات الاحتياليةء فإنه من غير القانوني لأي شخص: 


١‏ أن يستخدم بيانات أو وثائق مزورة أو وهمية أو مخادعة للحصول على آي معلومات 
شخصية للعملاء من ايمؤسسة الالية أو من عميل المؤسسة المالية بشكل مباشر. 


دليل المسئول التنفيذي لحوكمة تقنية ا معلومات ۷ 


الفصل الحادي عشر 


أن يستخدم وثائق مزيفة أو مفقودة أو مسروقة للحصول على معلومات العميل من 
ا مؤسسة المالية أو بشكل مباشر من عميل المؤسسة المالية. 

ه أن يطلب من شخص آخر الحصول على معلومات عميل ما باستخدام بيانات كاذبة أو 
وضمة أو احتبالىة أو باستخدام وثائق مزورة ووهمية ومخادعة أو وثائق مسروقة أو 
مفقودة أو مزيفة. 

تؤدي مثل تلك الادعاءات الاحتيالية إلى نوع جديد من المخاطر المتعلقة بالأمن 

والخصوصية: أو هكن القول بأنها ستعرضنا إلى ما يعرف بسرقة الهوية 11۴ .Iden tity‏ 

لفتح حسابات سداد جديدة أو لطلب سلع ومنتجات أو للقيام باقتراض الأموال. وعادة 

لا يكتشف هؤلاء الضحايا المستهدفون من قبل لصوص الهويات الشخصية بأنهم ضحايا 
حتى يعجز هؤلاء السارقون عن دفع فواتير أو سداد قروض وتبداً جهات التحصيل بمطالبة 
الضحايا المستهدفين بتسديد الحسابات التي لا علم لهم بها أصلا. ووفقا لهيئة التجارة 

الفيدرالية ©5816 فإن النماذج الأكثر شيوعا في سرقة الهويات هي: 

٠‏ الاحتيال على بطاقات الائتمان: فتح حساب بطاقة ائتمان باسم مستهلك ما أو الاستيلاء 
على حساب بطاقة ائتمان موجود بالفعل. 

٠‏ الاحتيال في خدمات الاتصالات: يقوم سارق الهوية بطلب خدمة هاتف أو هاتف نقال 
أو غيرها باسم المستهلك. 

ه الاحتيالات البنكية: فتح حساب سواء كان جارياً أم ادخاريا باسم مستهلك ما وكنابة 
شيكات مزورة. 

٠‏ القروض الاحتيالية: يقوم سارق الهوية بطلب قرض ما كقرض شراء سيارة مثلا باسم 

هناك قانون اتحادي مستقل مرتبط بقانون 61:84 ألا وهو قانون منع سرقة الهوية 
والادعاءات الواهية The Identity Theft and Assumption Deterrence Act‏ < والذي 


معايير أمن البيانات الخاصة بصناعة بطاقات الدفع (1055 201) وقواعد أخرى لحوكمة تقنية المعلومات 


بنقل أو باستخدام الوسائل التعريفية الخاصة بشخص آخر بقصد ارتكاب نشاط غير 
قانوني أو التحريض عليه؛ وأن ذلك يشكل انتهاكا للقانون الفيدراي. ؛ ويعتبر أيضا جناية 
وفقا لأي قانون يمكن تطبيقه على مستوى الولاية أو محليا. لات او 
الضمان الاجتماعي "وسائل تعريفية". وكذلك الأمر بالنسبة لرقم البطاقة الاثتمانية أو الرقم 
التسلسلي الإلكتروني للهاتف الخلوي أو أي جزء آخر ممعلومات قد تستخدم بمفردها أو 
بالاشتراك مع غيرها من المعلومات لتحديد هوية شخص محدد. 

قانون 61.88 هو أحد القوانين التي بمقدورها التأثير على العديد من كبار المديرين» 
خاصة هؤلاء الذين يعملون في المؤسسات الالية على اختلاف أنواعها. وحيث إن العديد 
من جوانب قانون 6184 تهدف بالمقاه الأول إلى حماية المعلومات اطالية للعملاء فقد 
أصبح الأمر الدارج إلى حد كبير هو أنه من المحتمل أن يكون لقانون 6184 آثار على 
مجموعة كبيرة من المؤسسات ف الولايات المتحدة. لذا يجب على المؤّسسات امالية وال مانحة 
للاكخماق أن تكون أكثز إذاراكا لقواعد قاكون 6188 وقؤاعد الخخوصة العامة التابحة له 
والتي يمكن تطبيقها على العديد من المؤسسات الأخرى. وتعتبر شبكة الويب هي المصدر 
الأفضل يشل مطلق للحضول على معلومات إضافية تفصيلية وحديئة عن قانون 6184 
وأحكامه. وهناك مصدران حيدان لهذا الغرض هما: 

618۸ لجنة التجارة الاتحادية: يقدم هذا المصدر الحكومي نظرة عامة على قانون‎ -١ 
ومعظم قواعده الحالية. على الراابط التالي:‎ 


http://business.ftc.gov/privacy-andsecurity/gramm-leach-bliley-act 


؟- الجمعية الوطنية لمفوضي التأمين: وهي مؤسسة تنظيمية توجد في كل ولاية على 
حدة. حيث تمتلك كل مؤسسة من هذه المؤسسات التنظيمية معلومات عامة عن قانون 
84ا6 مكن الاطلاع عليها عن طريق زيارة الموقع 19191:312.016, هذا بالإضافة إلى 
العديد من مواقع الويب الأخرى التي تغطي مواضيع ذات صلة بشكل تفصيلي. 

على الرغم من أن قانون 61:84 لا يزال أحد العناصر الهامة في تشريعات الولايات 
المتحدةء فإنه ظل إلى حد ما بعيدا عن الأنظار منذ عام ٠١١١‏ في ظل المتطلبات المعقدة لما 
يعرف بقانون دود فرانك 10000-113112. حبث يعمل هذا القانون على تنفيذ التغيرات 


دليل المسئول التنفيذي لحوكمة تقنية ا معلومات ۳۹۹ 


الفصل الحادي عشر 


التي» من جملة أمور أخرىء تؤثر في العمليات الرقابية والإشرافية على المؤسسات اطالية, 
وتقدم نكا إجراءات حازمة جديدة للشركات المالية الكرىء وإنشاء وكالة جديدة مسؤولة 
عن تنفيذ وفرض الامتثال للقوانين المالية التي تخص المستهلك» وطرح متطلبات رأسمالية 
تنظيفية أكرافوة وللساهمة فى إحدات تغبرات كنيرة وهامة فى اللائضة العظيمية ا 
يسمى بالمشتقات الماليةء وتعديل اللوائح التنظيمية الخاصة بوكالات التصنيف أو التقييم 
الائتماني» وإحداث تغيرات على حوكمة الشركات والممارسات التنفيذية للتعويضات» واشتراط 
تسجيل ا مستشارين للحصول على تمويل خاص,» والمساهمة أيضا في إحداث تغيرات كبيرة في 
سوق التورق. أي أنه بمعنى آخرء يمكن القول إن هذا القانون قد أحدث الكثير من الأمور 
والتغيرات. 

يعتبر هذا القانون واحدا من العناصر المعقدة في التشريع وقد تمت صياغة المسودة 
الخاصة ببنود هذا القانون في الوقت الذي كان فيه هذا الكتاب تحت الطباعة. ومن 
خلال استطلاعنا المحدود على هذا التشريع» تبين أن لهذا القانون بعض الاهتمامات المباشرة 
في حوكمة تقنية المعلومات. في جميع الأحوال يعد هذا القانون عنصرا آخر من عناصر 
التشريع التي ات في وضع قواعد جديدة للعديد من المؤسسات هذه الأيام. 


قانون إخضاع التأمين الصحي لقابلية النقل والمحاسبة (11۴۸44): العناية الصحية وأكثر: 

سيُطلب من المدير المقيم في الولايات المتحدة الذي يقوم بزيارة الطبيب هذه الأيام 
لإجراء الفحوصات السنوية أو لأي إجراءات أخرى أن يوقع على ما يشبه موافقة خطية 
تهدف إلى السماح بالإفصاح عن معلوماتهء وذلك قبل الشروع في عمل الفحوصات» وذلك 
أثناء قيامة بإجراءات حجز الكشف عند وصوله مكتب الاستقبال. حيث يتم موجب هذه 
الوثائق الحصول على موافقة المريض أو المريضة على السماح بمشاركة السجلات الطبية 
الخاصة به أو بها آو الإفصاح عنها على أنها جزء من الإجراءات الخاصة بهذه الزيارة الطبية. 
وإذا قام هذا المدير المريض بالسؤال عن سبب ذلك الإجراء» تكون الإجابة غالبا بأن هذا 
الإجراء هو "أحد المتطلبات القانونية الخاصة بقانون 11128/4". ويكون رد الفعل الطبيعي 
للمريض عادة هو القيام بالتوقيع على تلك الوثائق المطلوبة والاستمرار بالإجراءات دون 
أن يكون هناك فهم تام للغاية الحقيقية من الحصول على هذا التوقيع. فعلى الرغم من 
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مجموعة القواعد الخاصة بالعناية الضحية الواردة في قانون 331۴۸۸ ذإنه يحتوي أيضا 
على قواعد تشريعية أخرى تتعلق بالخضوضية: تذهب إلى ما هو أبعد من العناية الصحية, 
وسوف تؤثر في العديد من المؤسسات وكذلك المدققين الداخليين التابعين لها. 

يتطلب العمل في الولايات المتحدة الأمريكية سواء كان ذلك في شركة صناعية أو مؤسسة 
خدمات مالية أو الكثير غيرهاء أن يكون لدى كبار المديرين مستوى فهم وإدراك عام 
لقانون 11۴۸4 وقواعده. فقد صدر هذا القانون عام 195١م:‏ وتم إصدار القواعد النهاتيه 
له خلال السنوات اللاحقة لتلك السنة. وقد كان لقانون 11۴۸4۸ أثر كبير في الولايات 
المتحدة الأمريكية في خصوصية وأمن معلومات السجلات الطبية الشخصية وعلى العديد 

من السجلات الشخصية الأخرى. يتعرض الأفراد لقانون 11۴44 عند قيامهم بزيارة إحدى 
العيادات الطبية الخاصة بأحد الأطباء أو عند تعرضهم للعديد من ال مسائل الطبية الأخرى 
المتعلقة بالأمور الطبية. كما تشهد أيضا إدارات الموارد البشرية في المؤسسات أثر ونتائج 
متطلبات قانون 11۴۸4 هذه الأيام على إدارتها لسجلات مخططات الرعاية الصحية 
وا معالجات الطبية الخاصة بالموظفين لديها. ومن المؤكد أن هذا القانون قد تسبب أيضا ف 
إحداث آثار كبيرة ومتزايدة وبدرجة غير مسبوقة على مجمل قطاع الرعاية الصحية وعلى 
جميع مقدمي خدمات الرعاية الصحية التابعين له. والأهم من هذا كله أن قواعد هذا 
القانون قد شملت مجموعة كبيرة من عمليات الأعمال القائمة على التجارة الإلكترونية. 


لهذا القانون التشريعي الأساسي أربعة أهداف: 

-١‏ التأكيد على إمكانية نقل التأمين الصحي من خلال إزالة القيود والشروط الوظيفية التي 
كانت موجودة قي السابق. وقد كان ذلك ممثابة المحفز الرئيسي الذي أدى إلى إقرار 
قانون 1112424. حيث كان في السابق يتم إجراء العمليات اة والفحوصات 
اللازمة للأشخاص في ظروف وتحت شروط معينة: ولكن بعد ذلك كان أغلب هؤلاء 
الأشخاص لا يستطيعون الحصول على تغطيات صحية جديدة عند قيامهم بتغيير 
الجهات التي يعملون بهاء وذلك لأن عملية مشاركة المعلومات المتعلقة بتلك الحالات 
الصحية الخاصة بهؤلاء الأشخاص مع الآخرين كانت في كثير من الأحيان تتم بشكل 


غير مرن. 
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۲- الحد من عمليات الغش والاحتيال وسوء المعاملة في كل ما يتعلق بأمور الرعاية 
الصحية. فقد أدت تلك الكلمات التي تم طرحها في جلسات الاستماع الخاصة داخل 
الكونجرس الأمريي عندما تم الاستشهاد ببعض الأمثلة عن الاحتيال وسوء المعاملة 
المزعومة إلى تشريع هذا القانون. 

"- فرض معايير خاصة بال معلومات الصحية. وقد تم تغطية ذلك من خلال قواعد 
الخصوصية والأمن الواردة في قانون 111884 والتي سنوجزها لاحقا. 

-٤‏ ضمان أمن وخصوصية المعلومات الصحية. 

سيقدم هذا القسم نظرة عامة وموجزة عن أهداف قانون 11۴44 والقواعد الناتجة 
عنه» والتي تغطي مسائل حوكمة وخصوصية وأمن تقنية المعلومات. وعلى الرغم من عدم 
طرح جميع الجوانب والقضايا المتعلقة بقانون 11۴۸44 في هذ الكتاب» فإننا نتحدث عنه هنا 
على أنه قانون تشريعي آخر تقوده "القواعد الجديدة" التي لا تزال تؤثر في العديد من كبار 
المديرين في المؤسسات. إن التقدم الذي حدث في هذا القانون التشريعي يوضح ويفسر آليات 
العمل المتبعة لوضع وإقرار القوانين التي تتم تحت رعاية وإشراف الجهات الحكومية ال معنيةه. 
في البداية. كان الإصدار الأول لقواعد قانون 11۴۸4 على شكل مسودة تابعة لأحد اللوائح 
التي كانت قد نشرت في وقت مبكر. وقد كان هناك العديد من الملاحظات والتعليقات 
الموجودة على تلك المسودات» وكان لا يزال هناك المزيد من الملاحظات والتعليقات على 
مسودات لقواعد منقحة ومحسنة تم إصدارها لاحقاء وقد تم إصذار نسخ القواعد الأخيرة 
الخاصة بهذا القانون في وقت متأخر جداً عما كان مخطط له في الأصل. 


قواعن الخصوصنة لجات المرشى وفقا لقاتون 3144 

كانت الاهتمامات والمخاوف الملستمرة المتعلقة مسائل الخصوصية الطبية للمرضى 
من الأسباب التجفيدية الرئيسية الف جطلت الكوتجرن الأمريق زافق عاك إقراز قانوق 
4. فعندما نقوم بزيارة إحدى المراكز المتخصصة بتقديم خدمات الرعاية الطبية 
لمناقشة بعض المخاوف أو مشكلة ماء فإننا نتوقع بعد ذلك أن تتم المعالجة بطريقة سرية 
وخاصة للغاية. فنحن لا نرغب مثلاً في أن يتم إرسال النتائج الخاصة بالزيارات التي قمنا 
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بها للمراكز والعيادات الطبية إلى إدارة اللوارد البشرية التابعة للأماكن التي نعمل بها 
أو أن يتم إرسال تلك النتائج لإحدى شركات التأمين التي لا تربطها أي علاقة با موضوع 
وليست بحاجة لعرفة تلك النتائج؛ أو أن يتم ترك تلك النتائج على أحد مكاتب الاستقبال 
الخاصة بمقدمي الخدمات الطبية ليقوم بعد ذلك شخص ما بالتقاطها والتصرف فيها بكل 
سهولة. والأسوأ من هذا كلهء هو أننا لا نرغب في أن تتم مشاركة تلك النتائج أو المعلومات 
أو أي مسائل شخصية وسرية بصورة قد تحد من فرص وخيارات التوظيف المستقبلية 
الخاصة بنا. هذا الخوف أو القلق المرتبط مسألة خصوصية ال معلومات الشخصية: هو 
السبب الأساسي وراء العديد من قواعد قانون 11۶44. من ناحية أخرىء فهناك العديد 
من الأطراف التي ترغب في الحصول على معلومات تتعلق بشروط الرعاية الصحية لدينا 
لتقديم تغطية صحية وتعويضات مالية ملائمة» ومن الناحية العملية فإنه يمكننا القول بأن 
جميع العمليات التشغيلية الخاصة بتقديم خدمات الرعاية الصحية تحتاج إلى نظم داعمة 
تفصيلية ومعقدة جدا. وتغطي قواعد قانون 1112844 خمسة مجالات عامة سنتحدث 
عنها جميعا بشكل موجز في الفقرات التالية. إن هذه الفقرات هنا لا تقدم تغطية شاملة 
لقواعد هذا القانون» وليس الغرض منها هو أن تكون مصدرا مرجعياً لتلك القواعد. وإِنما 
تهدف إلى إعطاء المهنيين من خارج القطاع الطبي بلحة عامة عن القواعد الجديدة التالية 

الخاصة بقانون 11244]. 

-١‏ استخدامات السجلات الطبية والإفصاح عنها: ينبغي على المؤسسة الخاضعة لقواعد 
قانون 11۴۸4 أن تتخذ الخطوات اللازمة للحد من استخدام المعلومات الطبية الشخصية 
والإفصاح عنها ليكون ضمن "الحد الأدنى الذي لا بد منه لإنجاز وإتمام الغاية التي من 
أجلها تم استخدام تلك البيانات أو الإفصاح عنها أو طلبها" في القضايا والأمور غير 
العلاجية. وسنبدأً في طرح النظرة العامة عن قواعد قانون 111244 بكلمات وعبارات 
مقتبسة بشكل مباشر من نصوص تلك القواعد. كاستخدام عبارة the minimum"‏ 
necessary‏ بمعنى "الحد الأدنى اللازم" في الجملة السابقة. حيث يحتوى القانون على 
العديد من الأمثلة الخاصة بهذه الإرشادات التوجيهية المتعلقة با ممارسات التي تختارها 
المؤسسة لكي تتحقق من مدى صحتها من خلال الاطلاع على أحكام وتداعيات أخرى 
سابقة كانت قد وقعت على مر السنين. 


دليل المسئول التنفيذي لحوكمة تقنية المعلومات VY‏ 


الفصل الحادي عشر 


جاء هذا القتسم من قواعد قانون 111244 لتوضيح أن المعلومات الصحية الشخصية 
الخاصة بشخص ما ستفقد حماية هذا القانون 11۶۸4 لها في حال كان هناك نقص في 
المعرفات الخاصة بهذا الشخص المعني بهذا القانونء كعدم احتواء تلك المعلومات الصحية 
على آق من المحدةاتا أو المعرقات الثيائية عظر الغاضة اوماق حول هذا الف خض 
وعلاقاته أو علاقاتها وأصحاب العمل وأفراد أسرته أو أسرتها. إن هذا المطلب يقول الكثير 

عن قانون 11۴۸4. فلتحقيق الامتثال لنظام ا لمعلومات الصحية الخاص بقانون 111244 

قام هذا القانون التشريعي بتحديد تلك الثمانية عشر معاملا التي يجب أن يستخدمها أي 

أخصان تقنية معلومات أثناء قيامه بتنفيذ عمليات استرجاع البيانات من قاعدة البيانات 
بهدف تحديد هوية شخص ما. هذا يعني» أنه سواء كانت المعلومات الطبية الخاصة 
بشخص ما موجودة في ملف أو في نظام معلوماتي محمي ضد عمليات الإفصاح العام 

للاخرين» فإنه من الممكن مشاركة تلك المعلومات مع الآخرين في ظروف وشروط معينة. 

؟'- متطلبات التفويض أو التصريح: هذا القسم في 111244 هو الذي يتعرض له معظم 
مستخدمي خدمات الرعاية الصحية. لذا يجب أن يحصل مقدمو خدمات الرعاية 
الصحية على موافقة خطية تتعلق بالسماح لهم بالإفصاح عن جميع المعلومات الخاصة 
بالرعاية الصحية باستثناء بعض حالات الطوارئ. وللشخص الحق ف عدم الموافقة على 
مثل هذا الأمر الذي يتعلق بالإفصاح أو الكشف عن معلوماته الطبيةء وهناك شرط 
حاسم وقوى يفرض على مقدمي خدمات الرعاية الصحية القيام بالاحتفاظ بالسجلات 
الضرورية للقيام بتتبع جميع العمليات المتعلقة بهذه الإفصاحات. وكما ذكرنا سابقاء 
فإن هذا هو ما يُطلب من الشخص التوقيع عليه عند قيامه بزيارة أحد المراكز أو 
العيادات الطبية من خلال تقديم مجموعة من الوثائق التي تحتاج إلى توقيعه. 

۳- نشر الممارسات المتعلقة بالخصوصية: يجب أن يكون لدى مقدمي خدمات الرعاية 
الصحية ممارسات وإجراءات منشورة للخصوصية التي ينبغي عليهم توفيرها طمستخدمي 
المستفيدين من خدمات الرعاية الصحية المقدمة. بعد ذلك يحق للأفراد أن يطلبوا بشكل 
رسمي المزيد من القيود والمحددات التي يرغبون فيها على تلك السياسات المتبعة» ويجب 
على مقدمي الخدمات الصحية استيعاب جميع الطلبات المعقولة والمنطقية للمستخدمين. 
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-٤‏ حقوق الوصول للسجلات الطبية والتعديل عليها: للأشخاص الحق في فحص أو نسخ 
(جزئي أو كلي) للمعلومات الصحية الشخصية الخاصة بهم. كما أن لديهم الحق في طلب 
إجراء تعديلات مناسبة على تلك السجلات الصحية الخاصة بهم. كما يجب أن يقوم 
مقدمو الرعاية الصحية بالاحتفاظ بسجلات عن جميع الأطراف التي طلبت الوصول إلى 
تلك السجلات الشخصية للمعلومات الصحية الخاصة بهم خلال الشهور الستة الأخيرة. 

0- إدار الخصوصية فى قانون 11124/4: بالذهاب إلى ما هو أبعد من قواعد الوصول للسجلات 
والإفصاح عنهاء فإن لدى قانون 111844 مجموعة واسعة من المتطلبات المتعلقة بإدارة 
الخصوصية. ويتم تطبيق هذه المتطلبات أو القواعد على ما يعرف بالكيانات المشمولة 
Entities"‏ 00176160" كالعيادات الطبية والمختبرات والمستشفيات وكل ما له علاقة بأمور 
الرعاية الصحية الشخصية. وتشتمل القواعد الخاصة بإدارة الخصوصية على ما يلي: 

ه ينبغى على مقدم خدمات الرعاية الصحية تعيين "موظف خصوصية 0111121 "Privacy‏ 
يكون مسؤلا عن الأمور المتعلقة بالخصوصية»ء بحيث يكون هو ال معني بقضايا تطوير 
وتطبيق تلك الاجراءات والسياسات الخاصة بقانون 11248]. 

« ينبغي على مقدم خدمات الرعاية الصحية أن يقوم بتدريب أعضاء كادر العمل أو الموظفين 
لديه على التعاطي مع سياسات وإجراءات قانون 11۴۸4 المتعلقة بالخصوصية: كما 
يجب عليه الاحتفاظ بالوثائق التي تثبت بأن هذه التدريبات قد تمت فعلا. 

٠‏ ينبغي على مقدم خدمات الرعاية الصحية أن يمتلك ضمانات وتدابير أمنيةء وإدارية, 
فك وعادية مخدولا نها لضماية جوم اتعلودات اتف الشخصة. 

Appropriate ينبغي على مقدم خدمات الرعاية الصحية تطبيق "العقوبات المناسبة‎ ٠ 
على اللوظفين غير الملتزمين بتلك الإجراءات والسياسات المتعلقة بالخصوصية.‎ 55 

٠‏ ينبغي على مقدم خدمات الرعاية الصحية إيجاد وتطبيق السياسات والإجراءات 
المصممة لتحقيق الامتثال أو الامتثال لعناصر موجودة في اللوائح التنظيمية الخاصة 
بقانون 111288. كما يجب الاحتفاظ بتلك الوثائق الرسمية ممدة ستة أعوام سواء 
كانت مكتوبة على أوراق أم على شكل نماذج إلكترونية. 
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وعلى الرغم من أن تلك القواعد الخاصة بقانون 111244 تشمل بالمقام الأول عمليات 
الوضول للمعلومات الصحية الشخصية:؛ فإنها ذكرت مجالات أخرى تحدد ممارسات تشغيل 
جعيدة پت أن يتم تطبيقها في أي مكان آخر في داخل المؤسسة. د على ذلك هو 
تضمينها لشرط الاحتفاظ بالوثائق المتعلقة بالبرامج التدريبية التي تم إنجازها من قبل 
مقدمي خدمات الرعاية الصحية. فقد تم وضع هذا النوع من القواعد أو المطالب ف البداية 
للير امج الطبية للإدارة الاتحادية للعقاقير أو برامج الدواء. أما الآن فإن هذه القواعد تمثل 
es a‏ من قانون 111844 وتعتبر فكرة جيدة بالنسبة لمعظم البرامج التدريبية في 
الشركات. فال مؤسسات في بعض الأحيان تنفق الكثير من مواردها الخاصة في تدريب موظفيها 
إلا أنها لا تكلف نفسها غالبا عناء القيام بتوثيق هذا النشاط التدريبي على نحو جيد. 

إن لهذه القواعد وغيرها من القواعد المذكورة في هذا الفصل أهمية خاصة بالنسبة 
للمسؤول التنفيذي الذي يعمل في إحدى المؤسسات التي لها علاقة بالمسائل المتعلقة 
بالرعاية الصحية كالمستشفيات أو شركات التأمين الطبي. فضلا عن أن هذه القواعد تتسع 
وتمتد لتصل إلى مجالات أخرى مثل معالجة المطالبات الخاصة بالتأمين الطبي في إدارة 
الموارد البشرية لإحدى تسات أذ المتعلقة بسلامة مرافق المصنع والتبليغ عن الحوادث 
الصناعية. يجب أن يكون لدى جميع القسات العنية قضانا الرعاية الصحية أيضا قاع 
وإجراءات امتثال قوية لقانون 11۴44 إلا أن تقديم وصف تفصيلي طمثل هذه القواعد 
والإجراءات المتبعة ليس من ضمن نطاق وأهداف هذا الكتاب. على كل حال فإن الامتثال 
لقانون 11۶۸44 يعد أيضا مطلبا في العديد من البيئات الأخرى. يوضح الشكل التوضيحي 
)"-1١(‏ بعض إجراءات حوكمة تقنية المعلومات فيما يخص قانون 111844 التي يجب أن 
تكون موجودة ومفعلة في آي مؤسسة خاضعة لقانون 11۴۸۸. 


التشفير ومتطلبات الأمن في قانون 11۲۸۸: 

بالإضافة إلى قواعد الخصوصية المتعلقة بالتفويض والإفصاح عن السجلات الطبيةء فإن 
قانون 111944 يحتوي أيضا على بعض متطلبات أمن تقنية المعلومات التي تم تحديدها 
بدقة والتي يصعب تطبيقها في العديد من المؤسسات الصغيرة. فهو يدفع على حدود 
الممارسات الأمنية لتقنية المعلومات (زيادة حجم الممارسات الأمنية التقنية) بالنسبة 


3< دليل المسئول التنفيذي لحوكمة تقنية المعلومات 


معايير أمن البيانات الخاصة بصناعة بطاقات الدفع (1055 201) وقواعد أخرى لحوكمة تقنية المعلومات 


للعديد ويحتاج بعض الأمور كالقيام بتأمين التوقيعات الإلكترونية على الرغم من محدودية 
التقنيات الناضجة أو الفعالة فنيا المستخدمة حاليا لتوفير مثل هذه التوقيعات الإلكترونية 
الآمنة في ظل وجود الشبكات المفتوحة كشبكة الإنترنت. فنحن لا زلنا في المرحلة التي قد 
يتمكن فيها أحد القراصنة المهرة لنظم الحاسبات من اعتراض أو اختراق إحدى مكايلات 
الهاتف الخلوي التي تتناول بعض المواضيع والمسائل المتعلقة با معلومات الخاصة بالرعاية 
الصحية: الأمر الذي يعتبر بمثابة اختراق لمتطلبات الأمن والسرية لقانون 111244. ستتغير 
التقنية في المستقبل وستة ن¿ إجراءات الضط والرقابة وسيزداد ذكاء وخيرة القراصنة 
وسيتم تسوية هذه الاختراقات والانتهاكات ف المحاكم. 

لقد كان السبب الرئيسي وراء وضع مثل تلك القواعد السرية هو عدم ملاءمة وكفاية 
العديد من نظم إدارة تقنية المعلومات الخاصة بالرعاية الصحية التي كانت موجودة قبل 
قانون 11124.4. ففي كثير من الأحيان نرى أن المؤسسات يمكنها تحسين هذه النظم الأمنية 
لا عن طريق شراء وتركيب برمجيات جديدة فحسبء بل عن طريق تحسين السياسات التي 
يقودها البشر أولا. وقد تم الانتهاء من قواعد المعايير الأمنية الخاصة بقانون 111048 
ووضعها حيز التنفيذ في شهر إبريل من عام .7٠٠١‏ إلا أنه مم يتم تفعيل معايير الامتثال 
لتلك القواعد حتى عام .۲٠١٠‏ ومن بين المجالات الأخرى التي تشملها هذه القواعد ما 
يطلق عليه قانون 111248 اسم "الوحدات المشمولة 1811011165 076160)" والتي تشمل: 
٠‏ الأطباء وغيرهم من الذين يقومون بتقديم خدمات الرعاية الصحية والذين يقومون 

بمعالجة مطالبات الرعاية الصحية بشكل إلكتروني. 
٠‏ الخطط الصحية ها فيها مؤسسات التأمين الذاني. 
٠‏ دور المقاصة الخاصة بالخدمات الصحية - لخدمات الفواتير وغيرها والذين يقدمون 
خدمات تهيئة البيانات الخاصة بالمطالبات الإلكترونية المقدمة. 


دلبل المسئول التنفيذي لحوكمة تقنية ا لمعلومات ۳۷ 


الفصل الحادي عشر 


شكل توضيحي (١١-؟)‏ 
ا متطلبات والإجراءات الخاصة بحوكمة تقنية المعلومات في قانون 1]12448]. 

| 3 يجب أن جم سريف لاوت ة على انها اعد لمات المعنية يعقديم خدمات الرغاية الضحية | 
| والخاضعة لقانون 11۴۸4. (إن كان هذا غير متوفرء فليس هناك حاجة لاستكمال باقي الخطوات). 
| ". للامتشال لقانون 11۴۸4 وللخطة التنفيذية العامة الموضوعة لهذا القانونء فلا بد من تعيين 
| موظف رسمي مسؤول عن أمن ال معلومات المتوفرة على مستوى ابلؤسسة. 
| . لا بد من وضع وتنفيذ سياسات وإجراءات لحماية ا معلومات الصحية الخاصة بال مرضى. 
٤|‏ يجب أن يكون هفاك عمليات معمول بها للقيام بعمليات الدعم والرقابة المستمرين لقواعد قانون 
HIPAA |‏ ولوائحه. 
| ۵. يجب أن تتضمن عمليات قانون 1112844 سياسات وإجراءات وضوابط وتقنيات شاملة فيما يتعلق 
| مسائل الخصوصية والأمن. 
| 1. لا بد أن يكون للمؤسسة خطة رسمية للطوارئ معمول بها تتضمن ما ياي: 
٠ |‏ التحليلات الحساسة للتطبيقات والبيانات. 

٠‏ خطط النسخ الاحتياطي للبيانات. 
| ه٠‏ خطط التعاق من الكوارث .Disaster Recovery‏ 

خطة للعفليات التشغيلية خلال خالة الطوارق. 


| ه الفحص والتنقبحات الدورية المقترحة للخطة. 


۷. يجب أن تشتمل عمليات قانون 11۴44 على عمليات رسمية لضبط الوصول إلى البيانات» والتي 
ضفن أيضاً العملات المععة للعصول على إذن الوضول للبياثات وقواعد إنشاء الاتضال بالبيانات 
أ والإجراءات اللازمة لتعديل الوصول إلى البيانات. 
| ۸. يجب أن تشتمل الضوابط الموضوعة طراقبة عمليات الوصول إلى الوسائط الخاصة بنظم المعلومات 

على العمليات التالية: 

٠‏ ايلسادلة. 


« نسخ احتياطية للبيانات. 
٠‏ تخزين البيانات. 





PVA‏ دليل المسئول التنفيذي لحوكمة تقنية المعلومات 


معايير أمن البيانات الخاصة بصناعة بطاقات الدفع (1055 201) وقواعد أخرى لحوكمة تقنية المعلومات 


9. يجب على الإجراءات أو السياسات الأمنية الشخصية أن: 


٠‏ تضمن الإشراف على موظفي الصيانة من قبل شخص مطلع ومفوض بذلك. 
٠‏ تحتفظ بسجلات كاملة عن التصريح بالوصول للمعلومات. 
٠‏ تضمن حصول موظفي التشغيل والصيانة على تفويض أو إذن وصول مناسب. 
ه توفير إجراءات إجازة الموظفين . 
.٠٠‏ يجب أن يكون هناك إجراءات رسمية معمول بها لإنهاء الخدمات, والتي تتضمن تغيير مجموعة 
أ مناسبة من الأقفال والإزالة من قوائم الوصول أو الحصول على البيانات. 
.١‏ يجب أن تشتمل ضوابط الوصول الفعلي للنظم وال معلومات في جميع أنحاء المؤسسة على: 
٠‏ خطط عمليات التشغيل في حالة الطوارئ. 
٠‏ مراقبة وضبط المعدات داخل وخارج المنشأة. 
٠‏ خطط أمن المرافق. 
« إجراءات التحقق من تصاريح الوصول قبل الوصول الفعلي إلى النظم والبيانات. 
٠‏ سجلات الصيانة. 
ه الإجراءات اللازمة لمعرفة عمليات الوصول للنظم والبيانات بالنسبة للذين يصرح لهم ذلك. 
ةا تسجيل الدخول للزوان واكرافقين إذا كان ذلك هناسا 
٠‏ فحص وتنقيح خطة الوصول الفعلي للبيانات. 
311 ري عمازة جه الشبكات والاضالات عزن علدا 
٠‏ الخروج التلقاتي. 
« الهوية الفريدة للمستخدم. 
٠‏ كلمات المرور وأرقام التعريف الشخصية 217[5. 





ه أنظمة الرد الهاتفية. 


دليل المسئول التنفيذي لحوكمة تقنية ا معلومات ۳۷۹ 


الفصل الحادي عشر 


يعني ذلك أن قواعد الأمن والسرية الموجودة في قانون 1112848 يتم تطبيقها على 
جميع المؤسيات: سواء كانت عبارة عن عيادة يوجد بها طبيب واحد أم مستشفى کا أو 
L6‏ ضَك خا في معالجة المطالبات الخاصة بقضايا الرعاية الصحية التابعة لها من 
خلال التأمين الذان. 
قواعد الأمن والسرية هي العنصر الرئيسي في قانون 11108484 المعني بالحفاظ على 
خصوصية المعلومات الصحية الشخصية. وتغطي هذه القواعد ممارسات جيدة فيما 
يتعلق بالأمن والسرية لما هو أكثر بكثير من مجرد حماية للسجلات الطبيةء كالمتطلبات 
الخاصة بالمعايير القوية للتعافي من الكوارث. تحتوي القواعد المنشورة لقانون 1۲۸۸ 
على نوعين من القواعد هما: قواعد مطلوبة أو إلزامية "6001164" وقواعد غير إلزامية 
"400655316" كما أطلق عليها القانون. هذا النوع الأخير هثل القواعد التي لا يُطلَب 
من المؤسسة القيام بتنفيذها أو تطبيقها نظراً لصغر حجمها أو قلة مواردها. أما القواعد 
الإلزامية لقانون 11۴۸44 فتمثل العديد من الممارسات الجيدة في مجال آمن المعلومات 
التي تناسب جميع المؤسسات. هناك مجالات أمن أخرى في قانون 11۴۸۸ لكنها خارج 
نطاق 0 هذا الكتاب» كالمتطلبات الخاصة في بيئة البنية التحتية الرئيسية العامة 
والتي تتضمن التوقيعات الرقمية. 


الإجراءات الإدارية الأمنية لتقنية المعلومات في قانون 1112484: 

يحتاج قانون 11۴44 إلى إجراءات إداريه معمول بها لحماية سلامة البيانات 
وخصوصيتها وإتاحتها. ويجب أن يتم توثيق هذه الإجراءات بحرص وعناية لكل قاعدة من 
قواعد قانون 1112448. يعرض الشكل التوضيحي )6-1١(‏ بعض هذه الإجراءات الإدارية 
الإلزامية ."۸٩ 1۲٥۵"‏ كما يوضح هذا الشكل انتا القواعد التنفيذية لكن بطريقة عامة 
عدا آما:الشمية للقواعة النقورة لفاوق 141833 ققد حاءت فكل آم تقضيلا. أن 
العديد من هذه المتطلبات كخطة الطوارئ الموثقة والمختيرة أو السياسات الرسمية لضوابط 
الوصول للمعلومات» تكون مشابهة لإجراءات الضبط والرقابة التي أوصى بها المدققون 
الداخليون على مر السنين. بعضها يمثل الممارسات الجيدة في حوكمة تقنية المعلومات التي 
ينبغي أن تكون معمولا بها في العديد من المؤسسات. على سبيل المثال» يشير الشرط رقم ١‏ 


FAs‏ دليل اللسثول التنشيذي لحوكمة تقنبة المعلومات 


معايير أمن البيانات الخاصة بصناعة بطاقات الدفع (1055 201) وقواعد أخرى لحوكمة تقنية المعلومات 


في الشكل التوضيحي )6-١١(‏ إلى الحاجة إلى ما يسمى سياسة العقوبات - وهي مجموعة 
رسمية من القواعد التي تطبق على الأشخاص الذين يخترقون سياسة الأمن. إنها لفكرة 
جيدة بالنسبة إلى معظم المؤسسات هذه الأيام. وكقاعدة إدارية: أن يتعرض مقدم خدمات 
الرعاية الصحية الخاضع لقانون 11124.44 للجزاءات إذا تم اكتشاف عدم ملاءمة وكفاءة 
القواعد والإجراءات المتبعة لديه. 

وتشتمل المتطلبات الأمنية لقانون 11۶۸4 أيضا على القواعد الوقائية المادية المشابهة 
لضوابط الوصول الفعلي للبيانات التي كانت موجودة على مراكز البيانات الخاصة بتقنية 
المعلومات والتي تعود إلى الأيام الأولى لأجهزة الحاسبات المركزية الضخمة 1212111118126. 
في جميع الأحوال» استطاع قانون 1112484 هنا أن يتخطى حدود مركز عمليات التشغيل 
التقليدي لتقنية المعلومات. ويدعو إلى إيجاد إرشادات توجيهيه ووتائق قويه تتعلق 
باستخدام محطة العمل والموقع. وعلى الرغم من أنه قد جرت العادة ألا تقوم إدارة 
تقنة المعلومات ومدققوها الداخليون بإثارة العديد من المخاوف لدى الرقابة الداخلية 
التي تتعلق بالضوابط المادية للأجهزة الطرفية المتصلة من خلال الربط الشبكي في البيئة 
الخاصة بمنشأة الأعمالء إلا أن بيئات العناية الصحية الخاضعة لتنظيم قانون 11۴۸۸ 
تطرح العديد من القضايا الجديدة. فقد تكون محطة عمل البيئة الطبية التي ربما يكون 
فيها أطباء وممرضون وغيرهم من الموظفينء بحاجة إلى ضوابط منطقية ومادية قوية 
لحماية الخصوصية الشخصية لسجلات المرضى التي يمكن أن يتم تسريبها من خلال تلك 
المحطات. 


دليل المسئول التنفيذي لحوكمة تقنية المعلومات ۳۸1 


الفصل الحادي عشر 


شكل توضيحي (11-ع) 


المواصفات المطلوبة لتطبيق قانون 111248 


أحكام للوحدات المشمولة "0076164" كجزء من خطة الأمن والامتثال لقانون 112484]. 


0 قاين عامط يصوعن الؤسمات ت تقييم أو تقدير كامل للمخاطر المحتملة المتعلقة | 


.١ |‏ إدارة المخاطر: يجب على المؤسسات المشمولة تطبيق تدابير أمنية ملائمة ومعقولة للحد من 

| ا مخاطر وإبقائها ضمن المستوى المقبول (لتكون تحت السيطرة). 

ظ e‏ السياسات الأمنية المتعلقة بالخصوصية ف المؤسسة»ء كتطبيق سياسة من نوع "ثلاثة أخطاء. 
إذا آنت مطرود من العمل" (وهي السياسة التي تفرض المزيد من العقوبات على هؤلاء الأشخاص 

| الذين يدانون بجريمة خطيرة علما أنهم كانوا قد أدينوا سانقا باثنتين من القضايا الخطيرة أيضا). 

.٤ |‏ الإبلاغ عن إعداد تقارير بشأن نشاط أمن نظم المعلومات: لا بد من التبليغ عن سجلات أمن المعلومات 

ْ وتقارير الحوادث وغيرها من التقارير المتعلقة بالأنشطة الأمنية والقيام مراجعتها بشكل منتظم. 
0. إجراءات الاستجابة للحوادث: لابد من وجود عمليات معمول بها لتحديد الحوادث الأمنية 
5. إجراءات النسخ الاحتياطي: لا بد من وجود إجراءات معمول بها للتعافي من أي خسارة أو فقدان 
للبيانات. 

| التي تغطي أي فقد للبيانات. 

ْ ۸. حالة الطوارئ الخاصة بعمليات التشغيل: لا ند من وجوت عمليات معمول بها لضمان أمن وسرية 

| معلومات المرضى عندما يكون التشغيل في حالة الطوارئ. 

| 9. العقود التجارية ذات العلاقة. يجب على المؤسسة تضمين أسلوب في عقود الموردين يشترط على 

| امورد تبني تدابير أمنية كافية للإبلاغ عن الحوادث الأمنية التي تقع في المؤسسة وضمان تطبيق المقاولين 

ظ الفرغيين (مقاولي الباطن) للتدابير الأمنية الملائمة وفسخ العقد ق حال تين وجوت أي اختراقات أمنية. 


ظ .٠‏ التخلص من معلومات المريض: لا بد من وحوذ سياسات وإجراءات معمول بها لمعالجة الأرشفة | 
| النهائية لمعلومات المريض وحفظها. 





FAY‏ دليل المسئول التنفيذي لحوكمة تقنية المعلومات 


معايير أمن البيانات الخاصة بصناعة بطاقات الدفع (1055 201) وقواعد أخرى لحوكمة تقنية المعلومات 


ظ 7 . معرف فريد لهوية اللستخدم: يجب تخصيص محددات أو معرفات فرندة لجميع مستخدمی | 


| النظم ممنع مشاركة الحسابات ولتتبع سلوك النظام. 


المعلومات الإلكترونية في حالات الطوارئ. 





الخدمات والآليات الخاصة بالأمن التقنى: 

تتطلب قواعد قانون 11124843 وجود عمليات معمول بها لحماية سلامة وسرية وإتاحة 
بيانات السجلات الطبية ومنع الوصول غير المصرح به لأي من البيانات المرسلة عبر شبكات 
الاتصال المستخدمة. تحتاج هذه القواعد غالبا إلى ضوابط أكثر قوة وصرامة من تلك 
الموجودة في بعض المؤسسات الكبيرة. وتتضمن هذه الضوابط الأمور التالية: 

٠‏ ضوابط الوصول إلى البيانات: لا بد من إيجاد اليات رقابية قوية تعتمد على سياق 
البيانات أو دور أو مركز المستخدمين المصرح لهم. هذا بالإضافة إلى العمليات الرقابية 
التي يجب دائما أن تكون في موضع التنفيذ للسماح بالحصول على البيانات في حالات 
الطوارئ بواسطة العمليات التشغيلية لمركز البيانات إذا تطلب الأمر. 

۰ ضوابط التدقيق: يوجد مطالبات هنا وفي جميع القواعد الأخرى لقانون 111248 
بضرورة وجود ضوابط تدقيق قوية» والتي تتضمن وجود أمور كعمليات التنقيح أو 
التعديل للتوثيق وعمليات مراقبة الآثار وا مسارات التقليدية الخاصة بالتدقيق. 

٠‏ اعتماد صحة البيانات: هناك حاجة إلى ضوابط نظم قوية لحماية وسلامة البيانات. 

٠‏ اعتماد الكيان: لا بد من وجود ضوابط معمول بها بحيث أنه عندما تحاول إحدى 
محطات العمل الوصول إلى محطة عمل أخرىء فلا بد أن يكون مصرحا لها القيام بذلك. 


دليل المسئول التنفيذي لحوكمة تقنية ا معلومات عم 


الفصل الحادي عشر 


وقد تتضمن هذه العملية استخدام ضوابط لكلمات المرور أو الرد الآلي على الهاتف أو 
حتى ضوابط المقاييس الحيوية. لقد تخطى هذا ا مطلب حدود الكثير من ممارسات 
المؤسسات المطبقة هذه الأيام» حيث يتم مشاركة أو تبادل البيانات بكل سهولة وحرية 
من خلال رسالة البريد الإلكتروني ومرفقاتها. 
٠‏ ضوابط الاتصالات والشبكة: هناك مجموعة واسعة من الضوابط المقترحة هنا مثل 
التنبيهات والتشفير والإبلاغ عن الأحداث والتصديق على الرسائل وغيرها. تحب على 
المؤسسة الخاضعة لقانون 111244 أن تقو تقوم بتنفيذ شبكة آمنة دا 
يقتضي قانون 11۴۸۸ أن تمنح الضوابط الخاصة بالتوقيع الإلكتر وني البيانات الموقعة 
إلكترونيا الوزن القانوني نفسه للمستندات الورقية التي وقع عليها توقيعا تقليدنا. جف 
ينص قانون 11۴۸4 على سلامة الرسائل الشبكية وعدم إنكار واعتماد ا لمستخدم لأي رسالة 
تحتوي على توقيع إلكتروني. وقد يشكل هذا تحديا إضافيا بالنسبة للعديد من الأشخاص. 
وتستخدم اليوم عمليات التوقيع الرقمي أو الإلكترونيء إلا أنها مرهقة بعض الشيء ولن 
تكون إلزامية حتى يتم تطوير تقنيات جديدة أفضل لضمانها. 

أسهمت قواعد قانون 11۴۸44 في تقدم العديد من المجالات المتعلقة بأمن وسلامة 
تقنية المعلومات. وعلى الرغم من أن هذه القواعد قد وجدت من أحل السات المعنية 
بتقديم خدمات الرعاية الصحية» فإنها ستؤثر في العديد من المؤسسات الأخرى. لذا يتعين 
على كبار المسؤولين التنفيذيين محاولة الحفاظ على مستوى عام من ا معرفة الخاصة بتلك 
القواعد السارية ومعاييرها ا مطلوبة حتى وإن كانوا لا يعملون بشكل مباشر في إحدى 
ا تقديم خدمات الرعايه الصحية. وقد قمنا قي هذا الفصل بتقديم نبذة مختصرة 
ا عن تلك القواعد المعقدة والهامة في الوقت نفسه. وبالذهاب إلى ما هو أبعد من 
فجرة مؤسساتك الرعانة الضحية فإن هدة القواعد قطيق أنضا كلما كان غناك سجلات 
مرتبطة بالأمور الصحية يتم الاحتفاظ بها من قبل إدارة الموارد البشرية. ويستطيع أي 
مدير مهتم أن يحصل على المزيد من المعلومات المتعلقة بقانون 111248 من هذين 
المصدرين الهامين: 


عام دليل المسئول التنفيذي لحوكمة تقنية المعلومات 


معايير أمن البيانات الخاصة بصناعة بطاقات الدفع (1055 201) وقواعد أخرى لحوكمة تقنية المعلومات 


Department of Health and Human Services .١‏ .1.5 (وزارة الصحة والخدمات 
البشرية الامريكية): نسخ من قواعد قانون 11۶۸4 ووسائل دعم مرجعية أخرى يمكن 
الحصول عليها عن طريق زيارة الموقع: 
www.hhs.gov/ocr/privacy/hipaa/understanding/summary/index.html‏ 


Advisories ."‏ 111244 (الإرشادات الخاصة بقانون 111244): وهو موقع تشرف 
عليه نظم فونيكس 2106112 الصحية كموقع خدمات عام؛ ويعتبر واحدا من المصادر 
الجيدة للحصول على معلومات عن قانون 11۴۸4 والموجود في العنوان: //:مااط 
www.phoenixhealth.com‏ 
يعد الامتثال لقواعد قانون 11۴۸4 مطلبا قانونيا في الولايات المتحدة الأمريكية. 
ولأن مدققي الحكومة لا يقومون بزيارة المستشفيات أو مرافق الرعاية الصحية الكبيرة 
ومن المؤكد اشا أنهم لا يقومون حتى بزيارة إذارات الموارد النشرية الخاصة بال مؤسسات 
التجارية. فالشخص الذي يشعر أن هناك انتهاكا أو اختراقا لهذا القانونء يستطيع أن يتقدم 
بشكوى مباشرة إلى وزارة العدل الأمريكية ([120) .Department of [ust‏ وقد يحدث 
هذا بالتأكيد عندما تصبح بعض ال معلومات الرئيسية الموجودة في سجلات الموظف الخاصة 
بالتعويضات المطلوبة من شركات التأمين مكشوفة ومعروفة للعموم بسبب اختراقات أمن 
وسرية تلك السجلات. فلدى وزارة العدل الأمريكية [170 نهج الامتثال الطوعي للشكاوى. 
لذاينبغي على كبار المديرين المهتمين أن يكونوا على دراية ومعرفة ولو على أقل 
تقدير با مستوى الرفيع أو الخطوط العريضة لقواعد قانون 11۴44 وبقضايا حوكمة تقنية 
المعلومات المرتبطة بها. فهم أحد الأسباب القوية الأخرى لجعل المؤسسة تقوم بتطبيق 
ضوابط قوية تتعلق بالأمن والخصوصية في أي مجال من شأنه أن يؤثر في السجلات الطبية 
أو الصحية الخاصة بالموظفين. 


دلبل المسئول التنفيذي لحوكمة تقنية ا لمعلومات FAO‏ 


الفصل الحادي عشر 
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security/t/tj-maxx-data-theft-worse-firstreported/#. Tp2 
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Wiley & Sons, 2010). 


۳۸٦‏ دليل المسئول التنفيذي لحوكمة تقنية المعلومات 


الفصل الثاني عشر 
بيان خدمات تقنية المعلومات: تحقيق قيمة أكبر من عمليات 
تشغيل تقنية المعلومات 


كما تحدثنا في الفصول السابقةء كان المستخدمون ف الأيام الأولى لنظم تقنية المعلومات 
يلجؤون إلى مديري قسم تقنية المعلومات أو الموظفين المسؤولين عن النظم لديهم 
ومطالبتهم بأن يقوموا بإجراء تعديلات أو ترقيات للنظم القائمة i‏ وأن يقوموا بإطلاق 
نظم جديدة. وقد كانت معظم تلك المطالب لا تتعدى كونها تقارير ورقية جديدة أو 
تقارير بصيغ وأشكال مختلفة. وقد اشتكى هؤلاء المستخدمون في كثير من الأحيان من سوء 
خدمات تقنية المعلومات إما بسبب تأخير تسليم مشاريع النظم التي قاموا بطلبها أو لأن 
تلك النظم المنجزة لم تكن على مستوى توقعاتهم أو لوجود العديد من المشاكل الأخرى. 
وكان ذلك قبل ظهور الإنترنت» أي في الأيام التي كانت فيها نظم وخدمات تقنية المعلومات 
محدودة جدا. وقد جرت العادة بان يقوم هؤلاء اللستخدمون بتلخيص جميع احتياجاتهم 
واستكمال نموذج من تماذج الطلبات الرسمية الخاصة بخدمات تقنية ال معلومات التي 
يرغبون فيها. تم يقوم قسم تقنية المعلومات بمراجعة الطلبات المقدمة والتي كانت في 
الغالب يتم التصديق عليها ووضع جدول زمني لإتمامها في أقرب وقت ممكن - أحياناً يكون 
الوقت المحدد للبدء في تنفيذ الطلب مناسباً وقريبا من وقت تقديم الطلبء ولكن في كثير 
بن الأعيان كوت لي متسب وا چا کا عن وقت تقديم الطلبات. 

أما اليوم فإن خدمات تقنية المعلومات تعد أكثر تعقيدا من كونها مجرد تقارير مالية 
وتشغيلية والتي كان يتم تقديمها بصورة منتظمة في السنوات الماضية. في كثير من الأحيان 
نرى أن مستخدمي النظم هذه الأيام بحاجة إلى إجراء تحاليل من نوع خاص تعتمد على 
مخرجات أنظمة أخرى قائمة بالفعل. وقد يكون لدى مستخدمي النظم بعض الاحتياجات 
المتعلقة بتوقيت إجرائي استثنائي تفرضه متطلبات رفع تقارير قانونية دولية» أو قد يكون 
لديهم اهتمام بإحدى التقنيات الجديدة التي شاهدوها في إحدى العروض التجارية 


دلبل المستول ١‏ لتنفيذي لحوكمة تقنية اللعلومات FAV‏ 


الفصل الثاني عشر 


ويرغبون في مشاهدة مثلها في المؤسسة التابعين لها. ويكون هناك غالبا العديد من النظم 

والأدوات المتاحة لدى إدارات تقنية المعلومات» إلا أن أعضاء إدارات مجتمع المستخدمين لا 

يكونون غالبا على علم بخدمات تقنية ال معلومات المتاحة من خلال إدارة تقنية المعلومات 

في المؤسسة التابعين لها. وعلى غرار قائمة الطعام التي تقدم إلينا عند زيارة أحد المطاعم: 

فإن قسم تقنية المعلومات يستطيع أن يساعد مجتمع ال مستخدمين لديه عن طريق تقديم 

قائمة أو بيان بالخدمات التقنية المتاحة لديهم. ويستفيد مستخدمو موارد تقنية المعلومات 
غالبا سن قزلرة البانات القاض #ايهدمات تقدية امات عا شون بطل فلك 

الخدمات أو جدولتها. 

إن بيان خدمات تقنية ال معلومات 22]2108 5617166 11 عبارة عن قاممة بالخدمات التي 
ينبغي على قسم تقنية المعلومات في المؤسسة أن يقدمها للموظفين والعملاء وغيرهم من 
أصحاب المصالح. وتحتوي عادة كل خدمة من خدمات تقنية المعلومات التي يتم وصفها 

قي بيان كهذا على ما يلي: 

٠‏ وصف الخدمة: وهي قائمة بتطبيقات أو عمليات تقنية المعلومات الموجودة في الخدمة 
والتي قد يحتاج إليها المستخدم في إدارته. ويجب أن تتناسب هذه التطبيقات مع مجمل 
العمليات التشغيلية للأعمال ومتطلبات النظم الأخرى الخاصة بها. 

ه الأطر الزمنية أو اتفاقيات مستوى الخدمة (51.45) اللازمة لاستيفاء الخدمة: تعد 
اتفاقيات مستوى الخدمة من المعاملات الثنائية (تحتوي على طرفين) التي تأخذ شكل 
اتفاق داخلي أو عقود غير رسمية بين إدارة تقنية المعلومات وا مستخدمين. وتعتبر هذه 
الاتفاقيات من الأدوات الهامة جدا في حوكمة تقنية المعلومات التي سيتم الحديث عنها 
بمزيد من التفصيل في الفصل السابع عشر من هذا الكتاب. الفكرة هي أنه يجب أن 
يُذكر في بيان خدمات تقنية المعلومات الوقت الذي سيتم فيه تسليم الخدمة المشار إليها 
ومتطلبات إدارة المستخدم للوفاء بعروض الخدمة هذه. 

٠‏ من الذي يحق له طلب أو عرض الخدمة: يجب أن يحدد البيان مثلا أن هناك مجموعات 
خاصة من التقارير التحليلية ستكون متاحة فقط لمستويات وظيفية محددة في الإدارات 
المالية. وبا مثل» قد تقوم بعض الخدمات ال معروضة في البيان بالنص على أن المستخدمين 


A۸‏ دليل المسئول التنفيذي لحوكمة تقنية المعلومات 


بيان خدمات تقنية المعلومات: تحقيق قيمة أكبر من عمليات تشغيل تقنية المعلومات 


الذين يطلبون تلك الخدمات يجب أن يتحملوا بشكل رسمي مسؤولية حل بعض الأخطاء 
أو القيام ببعض المراجعات لمخرجات نظم محددة. 

٠‏ تكاليف الخدمات التقنية: إن فكرة أن يتم تقديم خدمات تقنية المعلومات كموارد 
"مجانية" داخل المؤسسة قد انتهت منذ زمن بعيد. وسيقوم الفصل السابع عشر من 
هذا الكتاب بتقديم بعض الدعم الإضافي لحوكمة تقنية المعلومات لإدارة وفهم التكاليف 
والتسعير. ومع ذلك يجب أن يحدد بيان خدمات تقنية امعلومات بعض الإرشادات التي 
تتعلق بتكاليف الخدمات المعروضة ف البيان. 

٠‏ كيفية الوفاء بالخدمة المذكورة في البيان: ينبغي أن يكون هناك بعض المعلومات بشأن 
توقيت تسليم الخدمة ومستويات الموافقة المطلوبة وغيرها من المعلومات الضرورية 
المتعلقة بالخدمة المطلوبة من البيان. 

على الرغم من أن بيان الخدمات يُعتبر واحدا من الأدوات الهامة بالنسبة لإدارات تقنية 
المعلومات. فإنه أيضا مهم وذو قيمة بالنسبة للعديد من الإدارات الأخرى غير العاملة 
في تقنية المعلومات وحتى بالنسبة للعروض المتعلقة بإدارة الموارد البشرية. فعلى سبيل 
المثال» مكن استخدام تطبيق عرض خدمة لتسجيل استحقاقات الموارد البشرية للموظف 
أو تغييرها أو تعديل الاشتراكات أو المصروفات من حسابات الإقراض أو حسابات الادخار 

للموظفء أو الإقرار بالموافقة على مدونة قواعد السلوك الخاصة بالموظف. 

يمكن لإدارات تقنية المعلومات في المؤسسة أن تقوم بنشر عروض الخدمة لديها بشكل 
فعال من خلال موقع المؤسسة على شبكة الإنترنت والمتاح فقط لأصحاب المصلحة اللصرح 
لهم. يستطيع المستخدم بعد ذلك القيام بزيارة ال موقع للبحث عن خدمة محددة مثل 
طلب جهاز حاسب آلي محمول جديد. أو طلب تعديل الاستحقاقات. أو القيام بإضافة 
موظف جديد في أحد الأقسام في المؤسسة. يقوم هذا الموقع الخاص ببيان الخدمات بإعادة 
تجميع الخدمات المعروضة حسب الفئات أو الأصناف التي تنتمي لها ويسمح باستخدامها 
في عمليات البحث (خاصة عندما يكون هناك مئات بل آلاف الخدمات المتاحة). حيث 

يقوم المستخدم باختيار الخدمة التي يريدها ومشاهدة الوصف والتفاصيل المتعلقة بها. 

كما يقوم المستخدم بإدخال أي معلومات تتعلق بالخدمات: كمعلومات الاتصال أو أسئلة 





دليل المستئول التنفيذي لحوكمة تقنية ا معلومات A4‏ 


الفصل الثاني عشر 


متعلقة بالخدمة؛ ثم يقوم بتقديم طلب للحصول على الخدمة المطلوبة. يحتاج طلب 
الخدمة إلى الموافقة أو التصديق عليه ثم يمر من خلال عملية التوجيه وعملية إدارة 
مستوى الخدمة وغيرها من العمليات اللازمة لاستيفاء الطلب. يستطيع المستخدم العودة 
إلى الموقع لاحقا لفحص حالة الطلب أو لاستعراض جميع المقاييس المتعلقة مدى نجاح 
الإدارة في أداء الخدمات التي تقدمها. 

يعد بيان خدمات تقنية المعلومات أحد الأدوات القيّمة والهامة للحوكمة بالنسبة 
للعديد من المؤسسات. يأخذ هذا الفصل بعين الاعتبار كيفية وضع وتطبيق بيان فعال 
لمات فة امكلوماضه كها يآحذ كن الاععبار نضا بحخض الضوابظ الركنسية اللازمة 
فعسم عملنات حوكمة تقييةا المعلومات دات الحلاقة. ونظرا لأن إدارة تقنية:الاعلومات 
هي التي تقوم بوضع المعايير والضوابط لتحديد الموارد التي يجب إدراجها على أنها خدمات 
لتقنية المعلومات في بيان خدمات تقنية المعلومات الخاص بهاء ولأن هذا البيان يعمل 
على تحديد الخيارات المتاحة للمجتمع الملستخدم لتقنية ال معلومات المؤسسية: فإن بيان 
الخدمات المنظم وا محكم جيداً هكن اعتباره أحد العناصر الهامة في الحوكمة الفعالة لتقنية 
ابلعلومات. 


أهمية بيان خدمات تقنية المعلومات: 

نظرا لزيادة الطلب من قبل وحدات الأعمال لخدمات جديدة في تقنية معلومات 
ولستويات أعلى للخدمة: وكذلك الضغوط المستمرة للتكاليف: فقد قامت العديد من 
وحدات التشغيل الكبيرة لتقنية ال معلومات المؤسسية بإجراء تحولات وتغيرات جذرية 
خاصة في السنوات الأخيرة. فقد أدرك الرئيس التنفيذي للمعلومات (10©) وغيره من 
المسؤولين التنفيذين لتقنية المعلومات أن هناك حاجة إلى تحقيق مواءمة أو توافق أفضل 
بين الخدمات التي يقدمونها واحتياجات العملء وإلى تحسين رضا العميل الداخاي» ونشر 
عمليات معيارية لتحقيق كفاءة تشغيلية أكبر. إن هذا الإصرار على تحسين جودة الخدمات - 
وإظهار قيمة الأعمال - قد دفع العديد من إدارات تقنية المعلومات إلى تطبيق عمليات 
محسنة للخدمات» مثل عمليات آيتل والتي تمت مناقشتها في الفصل السادس من هذا 
الكتاب» بالإضافة إلى بعض المنهجيات الأخرى لعملية تقنية المعلومات. ويعد بيان خدمات 


۳۹ دليل المسئول التنفيذي لحوكمة تقنية المعلومات 


بيان خدمات تقنية المعلومات: تحقيق قيمة أكبر من عمليات تشغيل تقنية المعلومات 


تقنية المعلومات أحد المكونات الرئيسية والذي تدعو الحاجة إليه لتحسين خدمة عملاء 
تقنية المعلومات. 

ويعتمد إطار العمل ايتل على ال مفاهيم الخاصة بالعناية بخدمات تقنية المعلومات 
وعملائها. حيث يكون بيان خدمات تقنية المعلومات في قلب تلك المفاهيم الأساسية. 
وقد انتجت العديد من إدارات تقنية المعلومات بيان الخدمة كجزء من نشر إدارة مستوى 
الخدمة طبقا للإطار آيتل. على أية حال» حتى لو كانت المؤسسة إلى الآن لم تتبن جميع 
مفاهيم آيتل» فقد يكون بيان الخدمات المؤسسية بمثابة نقطة محورية لتحقيق التفاعل 
بين تقنية المعلومات والأعمالء كما يمكن أن هنح كل منهما فرصة تحسين الخدمات المقدمة 
لعملاء تقننة المعلومات. إن بيان خدمة تقنية المعلومات يعد أحد الأدوات الهامة لحوكمة 
تقنية المعلومات» كما أنه ضروري أيضا لتوفير الأساس من أجل تحديد الخدمات والتواصل 
مع الأعمال. 

ولكي يكون بيان خدمات تقنية المعلومات فعالا فإنه يجب أن يُفهم ويتم تبنيه 
واستخدامه من قبل الأعمال. لقد أصبحت بيانات خدمات تقنية المعلومات هي المفهوم 
الجديد "الساخن" منذ بضع سنوات: إلا اننا نجد غالبا أن إدارات تقنية المعلومات تستهلك 
ماعات طويلة لتقوم بإنشاء وثيقة بيان الخدمات الخاضة بهاء هس تخدمة في ذلك صيغا 
ثابتة وجامدة ولا يقوم بقراءتها أو استخدامها إلا عدد قليل من العملاء. لذا نجد أن العديد 
من بيانات الخدمة الثابتة هذه من النادر أن يراها أو يقرؤها المستخدمون أو صناع القرار 
- وتصبح غالبا في نهاية المطاف عدهة التأثير. 

ولكي يتم بناء بيان فعال لخدمات تقنية المعلومات, فإنه يتعين على مديري تقنية 
المعلومات بالإضافة إلى مديري وحدات الأعمال في المؤسسة أن يقوموا بتحديد الخدمات 
التي سيتم إطلاقها لمستخدميهم النهائيين من خلال بيان الخدمة الخاصة بهم. وقد جرت 
العادة أن يقوم مديرو وحدات الأعمال ومحللو تقنية المعلومات بتحديد أنواع الأسئلة التي 
يمكن أن تُطرح من قبل مستخدمي بيان الخدمات الخاص بهم» وأن يقوموا أيضا بتحديد 
الموافقات اللازمة لطلب الخدمات» وأن يذكروا أيضا النظم والعمليات الأخرى المطلوبة 
لاستيفاء الطلب. فبمجرد أن يتم تحديد الخدمة وتنظيم عملية استيفائهاء فإنه ينبغي 


دليل المسئول التنفيذي لحوكمة تقنية المعلومات ۳۹1 


الفصل الثاني عشر 


على إدارة تقنيه المعلومات بناء جميع الوظائف الضرورية داخل تعريف الخدمة ومن تم 
نشرها في بيان الخدمة. 

إن مضطلح خدمة العملاء ليس جديدا بالنسبة للعمليات التشغيلية لتقنية المعلوفات. 
فضلاً عن أنه في الأيام الأولى لنظم التقنية وعملياتها التشغيلية, كان قسم تقنية المعلومات 
في أغلب الأحيان هو الذي يقرر ما الذي يجب "تطبيقه" ومتى سيتم تطبيقه. إن التكاليف 
الباهظة للخدمات والنظم السيئة وعدم رضا المستخدمين عنها والتي لا تلبي احتياجاتهم» 
قد آدت إلى إعادة التفكر بشكل كبير من جانب إدارة تقنية ا لمعلومات فيما يخص الخدمات 
التي تقدمها لمستخدميها. وقد أسهم نمو نظم الحاسبات الشخصية والإنترنت في تغيير تلك 
المفاهيم عبر السنين. أما اليوم فإن العديد من إدارات تقنية المعلومات وكذلك إدارة 
المؤسسة بدؤوا يدركوا أنهم في الأساس ما هم إلا وحدة لخدمة العملاء فهم يعملون على 
تقديم الدعم اللازم للنظم وغيرها من موارد تقنية المعلومات لجميع إدارات المؤسسة 
التابعين لها. لقد أصبح بيان الخدمة أحد السمات الرئيسية للمساعدة في بناء الخدمات 
الخاصة بعملاء تقنية المعلومات ودعمها. على كل حال» ول نضمن وجود مبادرة ناجحة 
لخدمات تقنية المعلومات تركز على العملاءء فإنه يجب على إدارات تقنية المعلومات اتباع 
التوجيهات الثلاثة التالية لبناء وتطوير سان لخدمات تقنية المعلومات: 


-١‏ الإقرار بأن مستخدم التقنية هو الملك: بداية وقبل كل شيء يجب أن يتم إنشاء بيان 
بخدمات تقنية المعلومات مع التركيز القوي على حاجات العملاء الداخليين. إن الخطأ 
الأكثر شيوعا الذي تقع فيه معظم إدارات تقنية المعلومات هو محاولة التركيز أكثر 
على شرح الخدمات التي يقدمونها من منظور تقنية ال معلومات. فعادة لا يكون لدى 
عملاء تقنية المعلومات الرغبة في استعراض أوصاف تفصيلية للخدمة من خلال "عبارات 
تقنية". بل يرغبون بمشاهدة شروحات للخدمات المقدمة بعبارات يستطيعون فهمها 
ومكتوبة مصطلحات غير تقنية» ومعالجة الشواغل أو الاحتياجات العاجلة. 
يتم تحديد البيانات الناجحة لخدمات تقنية المعلومات اعت مادا على العميل وتأثيره 

داخل المؤسسة بدلا من البنية التحتية من حيث تأثيرها في الخارج. وكناحية إرشادية. 

فإن البيانات الناجحة لخدمات تقنية المعلومات يجب يناؤها بطريقة مشابهة للبيانات 


بيان خدمات تقنية المعلومات: تحقيق قيمة أكبر من عمليات تشغيل تقنية المعلومات 


الحقيقية الموجودة عبر الإنترنت والتي تستخدم يومياً من قبل العملاء. مثل بيانات الخدمة 
الخاصة بأمازون دوت كوم 44201.0۳ ودل e11‏ » وإي باي 6827. 
يجب أن يشبه بيان خدمات تقنية ال معلومات أحد هذه البيانات الخاصة بالعملاء 
وا منشورة على شبكة الإنترنت. وذلك من خلال استخدام توصيفات سهلة الفهم وواجهة 
استخدام سلسة لاستعراض جميع عروض الخدمات المتاحة في البيان. يعمل البيان الفعال 
لخدمات تقنية المعلومات أيضا على تقسيم العملاء الذين يحق لهم الوصول إلى البيان- 
سواء كانوا مستخدمين آم مسئولين تنفيذيين لوحدات الأعمال- ويقوم بعرض محتوى 
مختلف بناء على الإدارةء والأدوارء والاحتياجات» والمواقع: والصلاحيات. إن هذا النهج 
المعتمد على العميل في وضع البيان يساعد على ضمان تبني بيان خدمات تقنية ال معلومات 
من قبل المستخدمين النهائيين وتوفير الأساس لنقاش متوازن لمستوى الأعمال فيما يتعلق 
بجودة الخدمة ومواءمات التكلفة مع صناع القرار في المؤسسة. 
؟'- جعل بيان خدمات تقنية المعلومات قابل للتنفيذ: من المهم آلا يكون بيان خدمات 
تقنية ال معلومات أكثر من مجرد مستودع ثابت للمعلومات. فباستخداه المثال الذي 
طرحناة عن بيانات خدمات العملاء المنشورة على شبكة الإنترنت» حيث يقوم العملاء 
باستعراض البيان المنشور عبر الإنترنت على موقع آمازون. كوم ۸۵20.٥0‏ أو دل. 
كوم 1011.6011, وعند مشاهدتهم لشيء ما يريدونه. فبإمكانهم طلبه. بالمثل» يجب 
أن يرتبط بيان خدمات تقنية المعلومات المقدمة للمستخدمين النهائيين مع عمليات 
طلب الخدمة - وذلك من خلال واجهة عربة التسوق القائمة على الإنترنت والتي تمكن 
اللمستخدمين النهائيين من طلب الخدمات وتتبع حالة الطلب عبر الإنترنت. على يضق 
مماثل: يجب أن يكون لدى مستولي وحدات الأعمال التنفيذيين عرض فريد لبيان 
خدمات تقنية المعلومات الخاصة بالمؤسسة التابعين لهاء وذلك طمنحهم مستوى أكبر من 
الشفافية على بنود ميزانية تقنية الأعمال ودوافع الاستهلاك ومستويات الخدمة وتأثير 
الأعمال على كل خدمة من الخدمات التي توفرها تقنية المعلومات. 
تعد خدمات تقنية المعلومات أمرا هاما بالنسبة للموظفينء وذلك عندما يرغبون في 
تحديث نظم الحاسبات المحمولة الخاصة بهم أو زيادة حجم صندوق البريد الإلكتروني 


دلبل المستول ١‏ لتنفيذي لحوكمة تقنية المعلومات Far‏ 


الفصل الثاني عشر 


الخاص بهم. كما أنها تعد مسألة هامة بالنسبة لمسئولي الأعمال التنفيذيين عندما يقومون 


بمراجعة الميزانيات أو عند استلام فواتير تقنية المعلومات الخاصة بهم. هذه هي الأوقات 
التي يجب أن يكون فيها بيان خدمات تقنية :الماك متاحا وقابلا للتنفيذ. 
ولضمان نجاح هذا الأمرء يجب أن يصبح بيان الخدمات نقطة الوصول الوحيدة التي 
سيلجاأً إليها المستهلكون في جميع احتياجاتهم المتعلقة بتقديم خدمات تقنية المعلومات 
الخاصة بهم» كما يجب أن يكون هذا البيان متاحا وبسهولة تامة وفي أي وقت يحتاج فيه 
العملاء إلى التعرف على الأمور التي تنفذها تقنية المعلومات وكيف تقوم التقنية بتنفيذها. 
كل ذلك يعني أنه يجب على قسم تقنية المعلومات أن ينظر لخدمات تقنية المعلومات كما 
لو كانت سا أو هتات ان كار المددردن الذمن #انواعل غلاقة بادازة نقسة المعلوهات 
في الماضي كانوا يقومون وبشكل رسمي بملء نوع من أنواع الوثائق الخاصة ب "طلب 
خدمات تقنية المعلومات" وذلك عند الحاجة إلى تقرير جديد أو أحد العمليات الجديدة 
لتقنية المعلومات. وكانت هذه الطلبات في ذلك الوقت يتم تحويلها إلى نوع ما من أنواع 
اللجان الإدارية التي كانت تقوم في البداية بمراجعة الطلبات المقدمة والموافقة عليها ومن 
تم تحديد أولويات التنفيذ. إن العديد من عمليات تقنية المعلومات اليوم لا تحتاج إلى 
نظم مخصصة وأعمال برمجية كالتي كانت موجودة في فاضي بل مكن تلبية احتياجات 
المستخدمين من خلال العديد من نظم وعمليات تقنية المعلومات الموجودة اليوم. 
"- تمكين بيان خدمات تقنية المعلومات ليصبح نظام سجلات: ينبغي أن يقوم بیان خدمات 
تقنية المعلومات القابل للتنفيذ بوظيفة "نظام للسجلات" الذي يجعل من الممكن إدارة 
وحدة خدمات تقنية المعلومات كما يدار مشروعٌ داخل مؤسسة. فبإمكان هذا البيان 
الخاص بخدمات تقنية المعلومات أن يوفر الوسائل والآليات الضرورية لإدارة طلبات 
العملاء» وآن يناظر العمليات الخاصة بتحقيق الخدمة مقابل كل خدمة من الخدمات 
المقدمةء وأن يضمن الامتثال لمستوى الخدمة والدفع بالكفاءات الخاصة بالعملية وتتبع 
التكاليف. 
لايمكن لأي عمل من الأعمال الموجهة نحو الخدمة أن يتم بشكل فعال بدون توفير 
هذه البيانات المالية والتشغيلية بسهولة ويسر. فمن خلال تزويد العملاء الداخليين بنقطة 


بيان خدمات تقنية المعلومات: تحقيق قيمة أكبر من عمليات تشغيل تقنية المعلومات 


مركزية لطلب الخدمات» تستطيع تقنية المعلومات الاستفادة من هذه البيانات للتحكم في 
الاستهلاك بدرجة أكثر فاعلية. فمن خلال الخدمات القياسية والموثقة على نحو جيد. يمكن 
لفرق تقنية المعلومات أن تفرض عمليات قابلة للتكرار وقابلة للقياس لتقديم الخدمات, 
الأمر الذي يؤدي في نهاية المطاف إلى جودة يمكن التنبؤ بها وموثوقة بالنسبة لمستوى 
الخدمات المقدمة. وهذا يسمح لمسئولي تقنية المعلومات التنفيذيين من الحصول على 
المعلومات الضرورية لاستخدامها في المناقشات المتعلقة بالأعمال والقائمة على الحقائق مع 
نظرائهم فيما يخص الميزانيات والتسعير. 

يمكن أن يكون بيان خدمات تقنية المعلومات حجر الزاوية للنجاح في العديد من 
مبادرات تقنية المعلومات التي تركز على العملاء. فمن خلال تحديد ونشر ال محفظة 
المعيارية الموحدة الخاصة بعروض الخدمات الخاصة بالأعمال» تستطيع إدارة تقنية 
المعلومات تسويق القيمة الخاصة بها بصورة أكثر فاعلية وتأسيس إطار عمل للتواصل 

مع الأعمال الأعرف دمع خلال هل نان الفتحات مها ءا واه اد تستطيع عمليات 
تشغيل تقنية المعلومات أن تساعد في توحيد عمليات استيفاء الخدمة. وإدارة الاستهلاك 
ودقع عملية التحسين المستمر. 

يمكن أيضاً وقف الخدمات التي لا يتكرر الطلب عليها باستمرار. وكذلك ينبغي تحسين 
العمليات الخاصة بتقديم الخدمات كبيرة الحجم» كما يمكن أن توفر مؤشرات الأداء 
الرئيسية رؤية آكبر لضبط التكاليف» وضمان الجودة الأفضل للخدمات المقدمة: وتقديم 
الدعم للنقاشات الخاصة بوضع اطيزانية مع صانعي القرار. 

من خلال بیان خدمات معمول به يركز على العميل وقابل للتنفيذ, هكن لقسم تقنية 
المعلومات أن يعمل بصفة مزود موجه نحو الخدمات حيث يقوم بتلبية احتياجات عملاء 
الأعمال لديه بشكل فعال. من ناحية أخرى: لا بد أن ندرك أن سان خدمات تقنية ا لملعلومات 
لا يجب أن يعرض أنواع الأشياء الموجودة في بيان سورز ريباك Sears Roebuck catalog‏ 
ذي الطراز القديم الذي كان Sê‏ في اللماضي - والذي كان يحوي العديد والمدهش من 
خاک نذا دحب أن وك هان خومات فة اللعلوئنات على العروضن القافة لتقنية 
المعلومات ف الوّؤسسة. 


دليل المسئول التنفيذي لحوكمة تقنية ا لمعلومات مم 
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دور بيان الخدمة في تنظيم أعمال مزود خدمات تقنية المعلومات: 

يجب أن يقدم بيان خدمات تقنية المعلومات الدعم إلى وحدات الأعمال التي ستستخدم 
هذا البيان بالإضافة إلى أقسام تقنية المعلومات التي ستوفر خدمات تقنية المعلومات على 
الممستوى الإستراتيجي؛ والتخطيطيء وكذلك على مستوى الإدارة التشغيلية: معنى أن هذا 
البيان يجب أن يبني أولا على مستوى رفيع عدا بحيث ممكن لكل من الإدارة العليا وإدارة 
تقنية المعلومات على مستوى المدير التنفيذي للمعلومات أن يتخذوا في البداية قرارا حول 
أنواع العروض التي سيشملها البيان. فعلى سبيل ال مثالء قد تحتاج إحدى مؤسسات التجارة 
المالية إلى العديد من أدوات الوصول التي تساعدها في إتمام أعمالها التجارية. فأي مستثمر 
يبحث عن برامج خاصة باختيار سوق الأسهم» على سبيل ال مثال» يدرك أن هناك العديد 
والعديد من أدوات اختيار وتحليل الأسهم. على أية حالء يمكننا القول وبكل بساطة بأنه 
من غير المجدي لا من الناحية العملية ولا من الناحية الاقتصادية أن يتم إدراج كل أدوات 
التحليل هذه ف بيان المؤسسة وجعلها متاحة لأي مستوى من المستويات الخاصة بمستخدم 
النظام. بل ينبغي على وحدات الأعمال وقسم تقنية المعلومات أن يقوموا بفحص تلك 
البدائل المختلفةء وأن يضعوا فقط البدائل المقبولة أو المتعارف عليها في بيان خدمات تقنية 
ا معلومات لديهم. 

يوضح الشكل التوضيحي )١-١١(‏ تلك العلاقة الخاصة ببيان خدمات تقنية اللعلومات 
بين وحدات الأعمال والإدارة الخاصة مزود خدمات تقنية ال معلومات. وليس بالضرورة أن 
يعبر المثلث الظاهر على يسار الشكل عن كامل المؤسسة: فهو من الممكن أن يعبر عن قسم 
أ وحدة أغيال أو مسو عة :هه وة عد تقلة: لها امظالنها انط الغاصةارها:. قك 
عن أن هناك وحدة معينة لنظم وعمليات تشغيل تقنية ا معلومات ستقوم عادة بدعم 
تلك الوحدة المستقلة للأعمال. الفكرة هنا هي أنه لا بد من أن يتم وضع الإستراتيجية 
الشاملة لبيان خدمات تقنية المعلومات على مستوى إستراتيجي من قبل الإدارة العليا 
لتقنية المعلومات والإدارة العليا للتشغيل وامالية. الأمر الذي سيؤدي إلى إيجاد قيود من 
المستوى الأعلى تعد ممثابة الأساس لبيان خدمات تقنية المعلومات ومحفظة الخدمات 
الخاضة والمؤسسة: 


۳۹ دليل المسئول التنفيذي لحوكمة تقنية المعلومات 


بيان خدمات تقنية المعلومات: تحقيق قيمة أكبر من عمليات تشغيل تقنية المعلومات 


إن بيان الخدمة على المستوى الإستراتيجي يغطي عروضاً رفيعة المستوى لخدمات 
تقنية المعلومات مثل الخصائص والخيارات الرئيسية المتاحة من خلال نظام تخطيط 
الموارد المؤسسية Enterprise Resource Planning (ERP)‏ والذي تم تطبيقه استنادا 
إلى مشروع اختيار وتطبيق البرمجيات الخاصة بأحد الباعة. إن أي نظام خاص بتخطيط 
الموارد المؤسسية 818 يوفر العديد من الخيارات والميزات» ويحتاج إلى مستويات عالية من 
التدريب والوعي لكل من المستخدمين والعاملين بمرفق تقنية المعلومات لتحقيق الاستفادة 
المرجوة من الميزات الخاصة بالنظام. وسنتطرق للحديث عن قضايا حوكمة نظم تخطيط 
ا موارد المؤسسية ۴۳۸۲ في الفصل الخامس عشر من هذا الكتاب. وسيتم تقديم نوع 18112 
الذي تم اختياره لأحد النظم الرفيعة المستوى في بيان الخدمة على مستوى إستراتيجي. 

شكل توضيحي (1-۱۲) 
علاقات الأعمال الخاصة بخدمات تقنية المعلومات 


المرفق الخاص يمزود 





دليل المستول التنفيذي لحوكمة تقنية ا معلومات ۹۷ 











الفصل الثاني عشر 


ثم يآتي بعد ذلك منظور إدارة التخطيط (الإدارة التكتيكية) وهو ضروري لبناء آي 
بيان خدمات وتحقيق الترابط بين قسم تقنية ا معلومات وإدارة عمليات التشغيل وإدارة 
عملاء وحدة الأعمال التابعين لها. فهي عملية مكونة من عدة خطوات وموضحة بالشكل 
(75-1). وفي خطوة آولى» يجب على إدارة تقنية المعلومات أن تنظر بتمعن إلى موارد 
تقنية المعلومات الموجودة لديها والعمل على إعادة تشكيلها على أنها خدمات موجهة 
للمستخدمين. على سييل الثالء قد يكون لدى إحدى المؤسسات بعض التطبيقات 
الرئيسية الخاصة بالمحاسبة والالية. مثل دفتر الأستاذ العام والخاص بالإقفال في نهاية 
الشهر. هناء رما يكون من الضروري تسليط الضوء على عمليات التحليل الخاصة الأخرى 
ووصفها وتحديد المستخدمين المحتملين لها وإضافتها كسجلات ف بيان الخدمة. هذا 
سيحولها من مجرد عمليات تقنية إلى خدمات خاصة بالعملاء كما هو موضح في الشكل 
التوضيحي .)١-١7(‏ 

وفي خطوة تاليةء يجب أن تحوّل الخدمات التقنية الخاصة بالعملاء إلى عمليات محددة 
في الأعمال المؤسسية. وتفرض هذه الخطوة على فريق تقنية المعلومات وفريق الأعمال 
الذهاب إلى ما هو أبعد من مجرد قائمة بالتطبيقات المنفذة لديهم والتي يمكن وصفها 
في بيان الخدمات. الفكرة هي أنه يجب تقديم المزيد من التفاصيل التي تسمح بتمكين 
العمليات الخاصة بالأعمال على تحو أفضل. لذا يجب أن يحدد بيان تقنية المعلومات 
هذه العمليات الخاصة بالأعمال على نحو أفضل ي تسمح للمستخدمين بأن يفهموا كيفية 
اختيار واستخدام تلك العمليات الخاصة بالأعمال. وقد تكون الإجراءات الخاصة بالتعيينات 
الجديدة في إحدى وحدات المنظمة مثال على أحد أنواع العمليات التي يمكن إضافتها إلى 
بيان كهذا. فالوحدة التقليدية في المئؤسسة لا تستقطب العديد من الأشخاص الجدد على 
نحو منتظم» غير أن هناك عمليات خاصة لازمة لمثل هذا الموظف الجديدء والتي تتضمن 
فحص المعلومات الأساسية والعروض الخاصة بخطة الاستحقاقات والتقاعد والامتثال لمدونة 
قواعد السلوك وما هو أكثر من ذلك بكثير. فبيان تقنية المعلومات سيقود المستخدمين 
لتلك الخدمات الضرورية وسيوجههم إلى تحقيق الامتثال. 


۳۹۸ دليل المسئول التنفيذي لحوكمة تقنية المعلومات 


بيان خدمات تقنية المعلومات: تحقيق قيمة أكبر من عمليات تشغيل تقنية المعلومات 


محتوى سان خدمات تقنشة المعلومات وسماته: 

تعد بيانات خدمات تقنية المعلومات من الإصدارات الشائعة في العديد من المؤسسات 
اليوم. ولكن ينبغي أن تكون هذه البيانات أكثر بكثير من مجرد قوائم طويلة تحتوي على 
أسماء ملفات التطبيقات التي تكون أشبه ما يمكن أن نجده في قائمة أحد مجلدات أنظمة 
التشغيل المعتمدة على النوافذ. لذا يجب أن يتم تصميم أنواع الخدمات المقدمة لتتناسب 
مع المنظمة وأهدافها. إن البحث في الويب عن مؤسسات أخرى قد يزودنا بالعديد من 
الأمثلة لما يجب أن يظهر به سجل البيانات الخاص بخدمات تقنية ال معلومات» ومع أن 
العديد من مصادر شبكة الإنترنت تقوم بوصف منتجات البائع الذي يقوم بتسويق الحلول 
الخاصة به. فإنه من ناحية أخرى نجد أن بيان الخدمة النموذجي يبدأ صفحة رئيسية 
على الإنترنت تخص قسم تقنية المعلومات التابع للمؤسسة» حي ث يلفت انتباه الأعضاء 
المصرح لهم بالدخول إليه من بين مجتمع المستخدمين الخاص بالمؤسسه إلى خدمات تقنيه 
اللعلومات المتاحة. 

شكل توضيحي (75١-؟)‏ 

عناصر بيان خدمات تقنية المعلومات 
مان تقب عربت عمليان الأغمال خذماث الاعمال 
المادمة للام 
٠‏ ثم تطويرها وتنليده 


مرك 


٠‏ أمثلة على ذلك 
صيانة الخوالم 
والمعدات أو ترقية 
والبرمجيات, 


انوا الأعمال مثل 
خلمات الرهن 1 
ضبط الجودة 





دليل المسئول التنفيذي لحوكمة تقنبة المعلومات ۳۹۹ 


الفصل الثاني عشر 


وعلى الرّغم من أن المؤلف هنا غير محترف في تصميم مواقع الإنترنت» فإن الشكل 
التوضيحي )-١7(‏ يعرض مثالا على الواجهة الرسومية الأمامية أو الصفحة الرئيسية لبيان 

الخدمات الخاص بالشركة العالية لمنتجات الحاسب (Global Computer Products)‏ 

التي تمت الإشارة إليها في فصول أخرى من هذا الكتاب. فبعد أن يقوم الموظف أو غيره من 

أصحاب المصلحة المصرح لهم بتسجيل الدخول باستخدام معرف فريد محدد وكلمة مرور 
خاصة به» فإنه سيرى هذا النوع من الصفحات الرئيسية» والتي تسرد المجالات المختلقة 
المتاحة لدعم النظم والتطبيقات الخاصة بها. فعلى سبيل المثال: قد يقوم المستخدم المصرح 
له بعد ذلك بالنقر على رابط خدمات مراقبة التطبيقات applications monitoring‏ 

169 . وقد تكون هذه عبارة عن أدوات خاصة لتحسين تطبيقات أخرى مخصصة 

للمستخدمين» حيث يشير الرقم (0) بعد الرابط 5615165 11626101زمرى إلى عدد التطبيقات 

الأخرى المتاحة المتعلقة بهذه الفئة. ومع عدم مشاهدة تلك التطبيقات هناء فإن النقر على 

الرابط سيعرض لنا قائمة بتلك التطبيقات الخمسة. 
يمكن أيضا عرض مجموعة من الخيارات الإضافية على أنها جزء من تلك العينة لصفحة 

بيان الخدمات مع روابط لصفحات أخرى تشمل: 

٠‏ طلبات الخدمة 160116565 ©561316: وستكون هذه عبارة عن بيان لعرض طلبات 
المستخدمين المتعلقة بالحصول على بعض التطبيقات الجديدة والخدمات الأخرى لتقنية 
المعلومات. 

ه حالة تذاكر المشاكل 15ا)ه)5 )ذا صءااهإء۴: يقوم مستخدمو تقنية ال معلومات الذين 
يواجهون مشاكل مع أي نوع من أنواع تطبيقات أو خدمات تقنية المعلومات بتعبثة 
نوع من أنواع الوثائق الخاصة بتذكرة المشاكلء وقد سبق الحديث عنها على أنها جزء 
من آيتل في الفصل السادس من هذا الكتاب. 

٠‏ تاريخ التدريب هان عدندنه1: يجب أن تقدم الصفحة الرئيسية تقريراً عن حالة 
البرامج التدريبية المتاحة للمستخدمين حسب معرف المستخدم (11 1561]. 


٠‏ روابط الاتصال بإدارة تقنية المعلومات: من الممكن أن تكون روابط عامة لتقديم 
المساعدة. 


1 دليل المسئول التنفيذي لحوكمة تقنية المعلومات 


بيان خدمات تقنية المعلومات: تحقيق قيمة أكبر من عمليات تشغيل تقنية المعلومات 


ولأن أي بيان خدمات كهذا لن يتمكن من تغطية جميع طلبات المستخدمين: فلا بد 
أن يكون لدى المؤسسة إحدى العمليات المعمول بها والخاصة بالتذاكر حيث يستطيع 
اللاستهده أن يقبوع كل من تقديم الطلبات القاسة وق سن اة أن قدا ع تقد مها 
إضافة إلى ذلك فإنه يجب الاحتفاظ بسجلات دقيقة عن النشاطات التدريبية. ومن المهم 
توضيح أن هناك موظفين محددين قد تلقوا تدريبات في تطبيقات رئيسية وأنهم قد أتموا 
متطلبات تلك التدرسبات. 

ومن الممكن أيضا تنظيم بيان الخدمات من خلال مجموعات من اللوحات الخاصة التي 
تحتوي على روابط للتطبيقات والخدمات المتاحة للموظف الملستخدم. بحيث تكون تلك 
القائمة من الروابط مرنة وتعتمد على الصلاحيات الخاصة بدخول المستخدمين. فالمشرف 
في القطاع التسويقي مثلاً يستطيع أن يرى فقط الروابط الخاصة بالتطبيقات المصرح له أو 
لها بالوصول إليها. في حين أن لوحات أخرى تقدم للمستخدم معلومات عن أرقام الاتصال 
بالدعم الفني وآهم الأخبار المتعلقة بالنظم ومعلومات خاصة بالفيروسات وحالة الأمن. 
وقد تم الحديث عن قضايا الأمن الخاصة بتقنية المعلومات في الفصل العاشر من هذا 
الكتابء كما يجب أن تكون هناك نظم معمول بها لإخطار جميع المستخدمين بالوضع 
الحالي للقضايا المتعلقة بالفيروسات والأمن. 

تحتوي اللوحة الموجودة في الجانب الأيسر من هذا المثال للصفحة الرئيسية على قائمة من 
الخدمات التي ستكون متاحة للمستخدم اعتمادا على صلاحيات وحقوق الوصول الخاصة 
بهوية المستخدم أو المستخدمة. وتكون هذه القائمة في العادة نوعا من أنواع الطلبات 
الخاصة بالتطبيقات التي لا تدرج ضمن النشاطات اليومية الاعتيادية للمستخدمين ولكن 
قد تكون ضرورية بلتطلبات خاصة. 

قد يكون بيان خدمات تقنية المعلومات بمثابة أذاة هامة لثنظيم وحتى التحكم توعا 
ماء بعمليات الوصول إلى موارد تقنية المعلومات الخاصة با مؤسسة. لذلك يجب تشجيع 
كل من كبار المديرين ووحدات تقنية المعلومات التابعين لها على تطبيق واستخدام بيانات 
فعالة للخدمات والتي سوف تسمح لجميع أصحاب المصلحة ا معنيين في المؤسسة باستخدام 
موارد تقنية ال معلومات داخل حدود مسؤولياتهم بشكل فعال. 


دليل المسئول التنفيذي لحوكمة تقنية ا معلومات ١‏ 


الفصل الثاني عشر 


إدارة سان خدمات تقنية المعلومات: 

رما يكون اهتمام بائعي تقنية ال معلومات والإعلام التقني المرتبط بتقنية ال معلومات 
هو السبب وراء جعل بيانات خدمات تقنية المعلومات أحد الأشياء العصرية التي يمكن 
تطبيقها بالنسبة للعديد من المؤسسات خلال السنوات الأخيرة. من ناحية أخرى فإن 
بذ لالوقت والموارد على تطبيق كهذا لن يعود بقيمة كبيرة على المؤسسة مام يتم 
تخطيطء وتنفيذء وإدارة الجهود بشكل فعال ف أرجاء المؤسسة كافة. فعمليات إدارة بيان 
الخدمات تمنح تقنية المعلومات القدرة على التحكم بالمبادرات الداخلية لتطوير وتقديم 
الخدمات ودعمها عند تأسيس الشراكة مع المستهلكين الذين سيحصلون على الخدمات 
المتفق عليها مستويات وأسعار متوقعة. وتتضمن فوائد الإدارة الفعالة لخدمات تقنية 
ا ملعلومات ما بلي: 

٠‏ إيجاد ثقافة تقديم خدمة والتي أسهمت في تغيير النظرة التي ننظرها لإدارة تقنية 
المعلومات من مجرد قسم من أقسام الشركة إلى أن تكون مزود خدمات. 

٠‏ توفير مصدر للمعلومات الموثوقة لإدارة استثمارات تقنية المعلومات على نحو أفضل. 


ه رفع مستوى الرضا لدى العملاء عن طريق السماح لهم باختيار المستويات الصحيحة 
لخدمات تقنية المعلومات التي تلبي رغباتهم. 


شكل توضيحي (۳-۱۲) 


الصفحة الرئيسية لبيان خدمات الشركة العالمية لمنتجات الحاسب 


Information Technology Division 
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دليل المسئول التنفيذي لحوكمة تقنية المعلومات 


بيان خدمات ا المعلومات: تق قيمة اك سن عمابات ينيل نقدة المعلومات 








الفصل الثاني عشر 


ينبغي على إدارات تقنية المعلومات أن تقوم بتعبئة مواردهاء بموافقة الإدارة العليا 
لبناء وصيانة بيان خدمات تقنية المعلومات الذي يحتوي على معلومات دقيقة عن كل 
خدمة من الخدمات الموجودة وعن تلك التي تم إعدادها لتعمل بشكل تشغياي. 


إن الجهد المبذول لتطوير بيان خدمات مثل هذا سيعود بفوائد كبيرة على الصعيدين 
الداخلي والخارجي. فعلى الصعيد الداخليء ينبغي على إدارات تقنية المعلومات أن تقوم 
بتطوير وإطلاق خدماتها بناء على المتطلبات المستمدة من إستراتيجيات الأعمال في اللؤسسة. 
أما على الصعيد الخارجي» فيستطيع عملاء تقنية المعلومات فهم توجهات تقنية المعلومات 
وطلب الخدمات ومستوى الخدمة التي تستطيع أن تقدمها لهم تقنية المعلومات. 

تتضمن الخطوات الرئيسية للقيام بإنشاء بيان خدمات فعال لتقنية المعلومات وإدارة 
تلك العمليات بشكل فعالء ما يلي: 


٠‏ توثيق تعريف خدمة تقنية ا لمعلومات: يعد التوصل إلى توافق ينتهى بتوثيق تعريف 
خدمات تقنية المعلومات مثابة الخطوة الأولى؛ ورا تكون الأكثر صعوبة في هذا المقام. 
فالسؤال هنا موجه لكل من إدارة تقنية المعلومات وإدارة ا مستخدمين "ما المقصود بخدمة 
تقنية المعلومات؟" إن الإجابة عن هذا السؤال ليست بالأمر السهلء ومن المحتمل أن 
تكون إدارة تقنية المعلومات قد بذلت الكثير من الوقت قبل الوصول إلى تعريف محدد 
وواضح للخدمة. إلا أن الإطار آيتل الذي تم تقدهه في الفصل السادس من هذا الكتاب 
يقدم تعريفاً جيداً واضحا للخدمة وهو أن: "الخدمة هي وسيلة لتقديم قيمة للعملاء 
من خلال تسهيل النتائج التي يريد أن يحققها المستهلك دون تحمل التكلفة أو المخاطر". 

ومن الآثار التي يمكن أن تنتج عن العمليات الفعالة لإدارة بيان الخدمات إمكانية 
مراقبة وفهم التغيرات التي تحدث على متطلبات وخدمات الأعمال. لذا يجب أن تتلقى 
إدارة تقنية المعلومات معلومات عن الأعمال على أنها مدخلات من وحدات الأعمال في 
المؤمسة ختى تتمكن من وضع الخطط الإستراتيجية واطالية لتقنية المعلومات. اعتمادا 

على المتطلبات الحالية وال مستقبلية الموجودة في محفظة الخدمات الحالية لتقنية المعلومات. 

وهذا سيسمح لبيان الخدمات أن يصف بدقة جميع الخدمات التي سيكون هناك حاجة إلى 

نشرها. وقد تتضمن هذه المعلومات التفاصيل المتفق عليها بخصوص مستويات الخدمة 
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وعلى مسائل أخرى كالوقت المناسب للتسويق والتغيرات التي طرأت على العمليات 
الرئيسية للأعمال المعتمدة على خدمات تقنية المعلومات. 

كما سیحتوی خف الغخدمات أنهًا على معلومات تتعلق بوحدات الأعمال التي 
يمكنها أن تطلب الخدمة: وعن أصحاب الأعمال ومدير الخدمة الذي سيقوم بالتصديق 
على طلبات الخدمات. كما يجب أن تشتمل الوثيقة ثيقة أيضاً على تفضيلات وحالات جميع 
الخدمات التشغيلية: وأرضا تلك التي تم نقلها إلى الإنتاجية. 


٠‏ بناء محتويات البيان: بمجرد أن يتم توثيق تعريف الخدمات وكل المعلومات المرتبطة بها 
مكن لتقنية المعلومات إنشاء محتوى بيان الخدمات الخاص بها. وهو عبارة عن نشاط 
يتضمن كيفية تنظيم عروض الخدمات وتزويد ال مستهلك بكل التفاصيل المتفق عليها. 

وربما تنتج بعض الصعوبات غير المتوقعة أثباء ناء الحتوى هراء تعض التحعريفات 
اللعقفدة للخدمات. يحب أن نتذكر اتا أن "الخدهمة" قن تتضمن أنشظة أخرىء مثل 

المكونات الرئيسية للبنية التقنية الرئيسية ا فيها من معدات وتطبيقات وشبكات وبيانات. 

ومن الممكن أن يكون ذلك مجدياً في تحديد التسلسل الهرمي للخدمات الموجوذة بداخل 

البيان من خلال إعداد وتجميع أنواع الخدمات المسجلة. متضمناً ذلك خدمات الأعمال 
والدعم الفني والبنى التحتية والشبكات والتطبيقات. إن سؤال العملاء عن الخدمات 
التي سيقومون باستخدامها وعن الكيفية التي ستسهم بها هذه الخدمات في دعم عمليات 
الأعمال الخاصة بهم: يمكن اعتباره أحد الوسائل البسيطة للقيام بهذا النشاط الخاص ببناء 
محتوى البيان. إن تطوير وملء ما يعرف بقالب تعريف خدمات تقنية المعلومات والموضح 
في الشكل التوضيحي )6-١١(‏ قد يكون هو نقطة البداية الرئيسية لهذه العملية. فملء 
نلك القوالب المعرفة مقا لتعريف الخدمات ومن ثم توزيعها بين أصحاب المصلحة 

الرئيسيين للمراجعتها والموافقة عليها سيسهل كثيرا من هذه المهمة. 

٠‏ إنشاء نوافذ لخدمات الأعمال: يعد وجود حاجة لفهم طرق عرض خدمات الأعمال جزء! 
أساسيا من عملية تطوير بيان خدمات تقنية المعلومات» إذ تشتمل طرق ار هذه 
على تفاصيل كثيرة تتعلق بجميع خدمات تقنية E‏ المقدمة للعملاءء كما تحتو 
یا على توصيفات وتفاصيل يستطيع أن يت العميل: وتحتوي كذلك على e‏ 
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الموجودة بين وحدات وعمليات الأعمال المعتمدة على خدمات تقنية المعلومات. فشاشة 
خدمة الأعمال هي نافذة العميل على بيان خدمات تقنية المعلومات كما أنها تسهم في 
تطوير عملية أكثر فاعلية لإدارة مستوى الخدمة. 
قد تساعد الحلول التقنية المستخدمة في إنتاج طرق لعرض خدمات الأعمالء الأمر الذي 
يسمح لتقنية ا معلومات باتخاذ قرارات حاسمة حول الخدمات التي يتم طلبها وعدد المرات 
التي تطلب فيها ومعرفة احتمالية دمج بعض الخيارات التي من الممكن أن تكون مرتبطة 

بالخدمة ومستويات الخدمة التي من الممكن أن تطلب. 

٠‏ إنشاء طرق لعرض الخدمات التقنية: نظرا لهيكلة خدمات تقنية المعلومات: فإن 
هناك العديد من خدمات الدعم الفني تكون غير مرئية بالمرة لمستخدمي وعملاء تقنية 
المعلومات» والتي يجب أن تبقى كذلك. إلا أنها أساسية وضرورية لتقديم خدمات تقنية 
المعلومات. يختلف بيان الخدمات التقني عن منظور خدمات الأعمال. فهو يحتوي على 
تفاصيل جميع خدمات تقنية المعلومات التي تم تقديمها للعميل إلى جانب علاقاتها 
بخدمات الدعم» والمكونات» وعناصر التهيئة اللازمة لدعم تقديم الخدمات للأعمال. 

إن العديد من المؤسسات تقرر الاحتفاظ بسسان خدمات أعمال فقط أو بيان خدمات 
تقنية فقط. على أية حالء فإن الوضع المفضل الذي تم تبنيه من قبل المؤسسات الأكثر 
وجا هو التستقاق ك الان مدال فان رمات واه تمد غل الو فهة 
يسمح لمستخدمين مختلفين من الوصول إلى شاشة الأعمال أو شاشة الدعم التقني أو 

الشاشتين معا وفقا لصلاحياتهما. 
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قالب تعريف بيان خدمات تقنية المعلومات 


شكل توضيحي )٤-۱۲(‏ 
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الفصل الثاني عشر 


٠‏ نشر الخدمات النشطة في بيان الخدمات: خطوة أخيرة ومهمة إدارية هامة للغايةء يجب 
أن تقوم إدارة تقنية المعلومات بنشر بيان الخدمات الخاصة بها لعملائها. ويعد ضبط 
وتطوير واجهة تعتمد على الويب تسمح بالوصول إلى الخدمات ال معروضة هو الحل 
الطبيعي في هذه الحالة. ويوضح الشكل التوضيحي )”-١7(‏ مثل هذه الصفحة الرئيسية 
لبيان خدمات منشور على شبكة الويب. 

إن إجراء الدراسات المتعلقة بإمكانية وسهولة وفحص الأداء بشكل مسبق يعد من 
الممارسات الجيدة في هذه الحالة. آخذين بعين الاعتبار اختلاف أنواع ومستويات الموظفين 
التي يمكن أن تكون موجودة بداخل هيكلة المؤسسة. ومن المهم أيضاً النظر في أدوار 

وصلاحيات المستخدمين في وحدات الأعمال الخاصة بهم وف السياسات الخاصة بالمنظمة. 

لذا يجب أن يُبني بيان الخدمات بشكل يسمح للمستخدمين بطلب الخدمات التي يرغبون 

فيها بسهولة لهم وبالنيابة عن الآخرين. كما يجب أن يحتوي البيان على تسهيلات للموافقة 
على طلبات الخدمات المقدمة. ممكن لهذه الأمور الخاصة ببيان الخدمات أن تجعل حياة 

إدارة تقنية المعلومات أسهل بكثير في التمهيد لتقديم نظام جديد. 

قبل نشر أي بيان لخدمات تقنية المعلومات» ينبغي على كل من قسم تقنية المعلومات 
وا مستخدمين الأساسيين أن يقوموا بفحص جميع الأمور المتعلقة بالمنتج. وهو أشبه 
بالفحوصات الضرورية المتعلقة بضمان جودة أي مبادرة جديدة. إن فحص بيان الخدمات 
يعني ضمنياً فحص الوظائف التقنية التي تعد الهدف الطبيعي من الخدمة إضافة إلى 
فحص أكثر لمدى إمكانية الاستخدام الشخصي. فكلا الأمرين هام لتحقيق النجاح الكلي 

وتبني أي بيان لخدمات تقنية المعلومات. 

إن بيان خدمات تقنيه المعلومات عبارة عن عملية إداريه هامه مسؤولة عن إنتاج 
ووصف لجميع خدمات تقنية المعلومات والاحتفاظ به. كما أن المعلومات الموجودة في 
بيان الخدمات المخطط له وا معد على نحو جيد ينبغي أن تعد لتعمل بشكل تشغيلي كما 
ينبغي أن تضمن أن المعلومات الخاصة بخدمات تقنية المعلومات المتفق عليها متاحة 

بشكل واسع لأولئك الذين لهم حق الوصول إلى تلك الخدمات. 
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تستطيع التقنية أن تلعب دورا هاما في تحسين عملية إدارة بيان الخدمات من خلال 
أتمتة الأنشطة الفعلية للعملية وبناء عروض خدمات من خلال بنية وحدة الأعمالء وأيضا 
من خلال الوصول إلى المخرجات الناتجة من عمليات أخرى مرتبطة ببيان الخدمات. إن 
بيان الخدمات الفعال لأعمال تقنية المعلومات والمدار بشكل جيد يعد من العناصر الفعالة 
للحوكمة الرشيدة (نقنية اللعلوماة. 
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E1٠ 


الجزء الرابع 
3 ف ؤعالة وماق 
بناء أنظمة حوكمة تقنية معلومات فعالة ومراقبتها 


لمك 


الفضل الثالث عشر 
أهمية البنية الموجهة نحو خدمات تقنية المعلومات لنظم 
حوكمة تقنية المعلومات 


يعلم المحترفون الذين عملوا مع نظم وتطبيقات تقنية المعلومات على مر السنين أن 
الأساليب والتقنيات المتبعة في عالم تقنية المعلومات دائمة التغير والتطور. ففي أغلب 
الأحيان نرى أن المفهوم الذي كان يعتبر جديداً وساخناً منذ سنوات قليلة فقط سرعان ما 
يندثر ويستبدل بمفهوم آخر جديد ومختلف كليا. ونرى في حالات أخرى أنه سرعان ما 
تتطور وتتحول اللفاهيم التي كانت في يوم من الأيام عبارة عن مفاهيم متقدمة جدا أو 
حتى غريبة بعض الشيء إلى ممارسات اعتيادية ومقبولة. إن تجهيزات وإعدادات نظام 
الحاسبات القائم على الخادم - العميل يعد واحدا من الأمثلة على هذا النوع من الممارسات. 
فربما كانت تلك الإعدادات في منتصف تسعينيات القرن الماضي تعد من ا مفاهيم الجديدة 
والمختلفة: إلا أنها الآن أصبحت اللغة المعيارية الموحدة ف تقنية المعلومات. نجد أيضا أن 
إدارة تطبيقات تقنية المعلومات من خلال البنى الموجهة نحو الخدمات Service Oriented‏ 
Architect )504(‏ تعد هي الأخرى من المفاهيم الجديدة نسبياً والتي ستصبح قريبا 
جزءا من اللغة القياسية الموحدة ف تقنية المعلومات. إننا نستخدم هنا الاختصار 504 مع 
أن هناك آخرين يستخدمون أحيانا الاختصار (5385) Software 25 a Service‏ (البرمجيات 
كخدمة) للدلالة على المفهوم نفسه. فكلا الاختصارين يعني الشيء نفسه» إلا أننا نستخدم 
الاختصار 504 خلال هذه الفصول خلال شرحنا لهذا المفهوم. 

إن البنية الموجهة نحو الخدمات 508 هي احدی وسائل نظم تقنية المعلومات 
التي يتم من خلالها تجزئة الوحدات الإجرائية المنطقية الخاصة بتطبيقات الأعمال أو 
الوظائف الفردية وتقدممها خدمات للتطبيقات الخاصة بالمستهلكين أو المستخدمين. إن 
الفكرة الأساسية هنا هي أن تكون خدمات تقنية المعلومات التي يتم تقدهها فعليا بعيدة 
ومستقلة كليا عن التنفيذ الفعلي للتطبيق أو النظام. الأمر الذي يجعل مطوري نظم تقنية 
المعلومات قادرين على بناء وتكوين تطبيقات جديدة من خلال اختيار وتجميع المكونات 
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المختلفة لتقنية المعلومات. وهذا أشبه بالطريقة التي يقوم بها الطفل ببناء شكل جديد 
باستخدام قطع مختلفة من لعبة الليغو" 8200.آ. 

سيقوم هذا الفصل بتقديم المفاهيم الخاصة بالبنية الموجهة نحو الخدمات 5048 
لنظم وتطبيقات تقنية المعلومات» كما سيناقش أيضا قضايا الرقابة الداخلية وحوكمة تقنية 
المعلومات الخاصة بتطوير تطبيقات تقنية المعلومات وعملياتها التشغيلية باستخدام هذه 
التقنية. يعد مفهوم البنية الموجهة نحو الخدمات 504 من المفاهيم التي تتطور بفاعلية 
وسرعة في مجال تطوير وتنفيذ التطبيقات الخاصة بتقنية المعلومات. فعندما يتحدث 
العاملون بإدارة تقنية المعلومات في المؤسسة عن البنية الموجهة نحو الخدمات 50/48 
ويقومون باستخدام هذا ا لمصطلح كما لو كان تعبيرا جديدا ومؤثرا فإنه يجب على مديري 
الأعمال آن يتمتعوا بمستوى فهم عام فيما يخص هذ المفهوم» وكذلك الضوابط الداخلية 
والمفاهيم المحيطة بتطبيقات البنية الموجهة نحو الخدمات 504. 


تطسقات المبنية الموجهة نحو الخدمة (504) وتطسقات تقنية المعلومات 
المدفوعهة بالخدمة: 

يقوم بائعو الأجهزة والبرمجيات غالبا وكذلك مطورو تطبيقات البرمجيات العالية 
المستوى باستخدام مصطلحات متشابهة ولكنها مختلفة قليلا أثناء حديثهم عن مفاهيم 
البنية الموجهة نحو الخدمات 504. فربما نسمع تعبيرات كالهياكل الموجهة نحو الخدمة 
Service-Oriented Architectures‏ والتصميم الموجه نحو الخدمة Service-Oriented‏ 
1 والتصميم الموجه نحو الهدف 2وزة»(12 061-07160164 أثناء الحديث عن 
خصائص بعض التطبيقات الجديدة لتقنية المعلومات. فهذه التعبيرات تبدو متشابهة 
وتشير عموما إلى الأساليب والطرق نفسها التي يتم من خلالها بناء وتطوير تطبيقات تقنية 
المعلومات ونشرها في عالنا اليوم الموجه نحو الإنترنت. وسنقوم عموما في هذا الفضل 
باستخدام مصطلح البنية الموجهة نحو الخدمات Service-Oriented Architecture‏ 
للإشارة إلى هذا المفهوم على الرغم من أنه قد يختلف علماء الحاسب حول بعض تفاصيل 


المصطلح. 


16 دلبل اللسثول التنفيذي لحوكمة تقشة المعلومات 
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إن البنية الموجهة نحو الخدمات 504 عبارة عن نمط هيكلي لتقنية المعلومات يهدف 
إلى تحقيق التقارن أو الارتباط الضعيف 118[نامء 10056 بين وكلاء البرمجيات. وللمساعدة 
في توضيح التعريفات. يصف لنا هذا التقارن الضعيف 11128 نام 10056 كيف ممكن للنظم 
المتعددة في الحاسب الآلي. حتى وإن كانت تلك النظم تستخدم تقنيات غير متوافقة» أن 
يرتبط بعضها ببعض لتقوم بتنفيذ المعاملات المطلوبة بغض النظر عن المعدات والبرمجيات 
والمكونات الوظيفية الأخرى الخاصة بتلك النظم. فعلى سبيل المثالء تعتبر الحاسبات الآلية 
المستخدمة في الشبكة عبارة عن نظم ضعيفة الترابط 57756125 160نام» /إ[10086 حيث 
يمكن لجهاز العميل أن يقوم بطلب بيانات من جهاز الخادم حتى لو كان النظامان أو 
الجهازان يعمل كل منهما بشكل مستقل عن الآخر. 

تسمح البنية الموجهة نحو الخدمات 504 بتحقيق التشغيل البيني أو التبادلي بين النظم 
ولغات البرمجة المختلفة لتقنية المعلومات. موفرة بذلك أساس التكامل بين التطبيقات التي 
تعمل على منصات مختلفة من خلال الرسائل عبر وصلات شبكة الاتصالات. يتم بناء 
البرمجيات باتباع كل من المعايير المشتركة وال معايير الخاصة بالصناعة والتي هي عبارة عن 
مكونات محببة (مقسمة) ومعيارية. إن الخدمة هي وحدة من وحدات الأعمال التي تم 
إنجازها بواسطة مقدم الخدمات لتحقيق النتائج النهائية ا مرجوة لمستهلك الخدمة. إذ 
إن كلا من مقدم ومستهلك الخدمة ما هو إلا أدوار يقوم بها وكلاء البرمجيات بالنيابة عن 
أصحابها. 

على الرغم من أن هذا الوصف قد يبدو للبعض تجريدياً بشكل كبير. فإن مصطلح البنية 
الموجهة نحو الخدمات 504 ليس بذلك المفهوم الصعب. فأسطوانات الموسيقا الموجودة 
في منازلنا وكذلك مشغلات الأقراص المدمجة تعتبر مثالا على مفاهيم البنية الموجهة نحو 
الخدمات 504. فإذا كنت على سبيل المثال ترغب في تشغيل أحد الأقراص المدمجة» فإنك 
تقوم بوضع القرص الذي تريده في مشغل الأقراص لتقوم الوحدة الصوتية بتشغيله لك. 
فمشغل الأقراص في هذه الحالة يقوم بتقديم خدمة تشغيل الأقراص الموسيقية المدمجة. 
وعند الانتهاء من سماع القرص» مكنك استبداله بقرص موسيقي مدمج آخر لسماعه. 
يمكنك أيضا تشغيل القرص الموسيقي نفسه باستخدام مشغل أقراص محمول أو المشغل 


دليل المسئول التنفيذي لحوكمة تقنية المعلومات E0‏ 


الفصل الثالث عشر 


الموجود بسيارتك الخاصة. فكلاهما يقوم بتقديم خدمة تشغيل الأقراص المدمجة نفسها. 
ولكن قد تختلف جودة الخدمة بسبب اختلاف الأنظمة الصوتية الموضوعة في كل منهما. 
وقد تؤدي نتائج خدمة تشغيل الأقراص الموسيقية إلى تغيير حالة المستهلك الذي يستمع إلى 
الموسيقا. فقد تتسبب فى تغيير ال مزاج من مكتئب إلى سعيد. فنحن عملاء الخدمة 517166 
01111 ومشغل الأقراص هو مقدم الخدمة 2810110161 Service‏ وتقوم مكتبة الأقراص 
المادية الموجودة بدور الوسيط للخدمة „Service Broker‏ 

غاما كما هو الحال بالتسبة هغل الأفراض الذي يقدم لنا الموسيقا المسجلة مسقا 
فإن السبب وراء رغبتنا بوجود شخص آخر يقدم لنا الخدمات أو ينجز لنا الأعمال هو أنهم 
جميفا ملكون مصادر مختلفة وخبراء مختضين. ‏ ويكون اس تهلاك الخدمة ق العادة أقل 
تكلفة وأكثر فاعلية من أن نقوم بإنجاز الأعمال بأنفسنا. فمعظمنا يعلم بأننا لسنا أذكياء 
بما يكفي لنكون خبراء في كل شيء. والقاعدة نفسها تُطبق على بناء نظم البرمجيات. 

ويقود هذا المفهوم الخاص باستخدام الخدمة الموسيقية لمشغل أقراص شخصي من 
مكتبة أقراص موسيقية إلى مفاهيم البنية الموجهة نحو الخدمات 504. حيث تعتبر 
الخدمة هي اللبنة الأساسية لهذه البنية 504: وأنها وسيلة للوصول إلى إمكانيات وقدرات 
أعمال قابلة للتكرارء ويتم تنظيمها لتكون واجهات برمجية بسيطة متاحة لجميع مزودي 
ومستهلي الخدمة. يعرض لنا الشكل التوضيحي )١1-١7(‏ هذا ال مفهوم الرئيسي الخاص 
بتكوين البنية الموجهة نحو الخدمات 504 كما يعرض الشكل الآلية التي يقوم من خلالها 
العميل أو طالب الخدمة بطلب الخدمات من المقدم أو المجمع للخدمات من خلال وجود 
دليل أو بيان خاص بعروض الخدمات المتاحة لديهم. حيث سيقوم هذا البيان بسحب 
طلب الخدمة من أي مزود خدمة من بين العديد من مزودي الخدمات. وإعادة تلك 
الخدمة إلى طالب الخدمة ومن ثم إلى مزود الخدمة. إن مبدأ كل من بيانات الخدمات 
التي تم الحديث عنها في الفصل الثاني عشر من هذا الكتاب والبنية الموجهة نحو الخدمات 
4 هو أن يتم تبني واستخدام إحدى بيانات الخدمات المتعارف عليها لتقديم الخدمات 
ا مطلوبة من تقنية المعلومات. 
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أهمية البنية الموجهة نحو خدمات تقنية المعلومات لنظم حوكمة تقنية المعلومات 


ولكي تكون البنية الموجهة نحو الخدمات 5048 أكثر فاعليةء فهناك حاجة إلى أن يكون 
لدى جميع مستخدمي نظم وخدمات تقنية المعلومات فهم واضح لمصطلح الخدمة. والأكثر 
أهمية في بعض الأحيان» هو الحاجة الفعلية لإدارة تقنية المعلومات لفهم ما يعنيه مصطلح 
الخدمة عندما تحاول القيام بتقديم خدمات تقنية المعلومات بدلا من قيامها بتقديم النظم 
والعمليات التقليدية الجديدة. فخدمة تقنية المعلومات 5617166 '11 عبارة عن وظيفة 
رة حيرا وقافة بذ اها ولا تعمد عن سماق أو عالة الغدمات الأفرى. تمن الخدمات 
مثابة وحدات البناء بالنسبة للبنية الموجهة نحو الخدمات 504 والتي ممكن اختبارها 
وربطها معا لعمل خدمات أخرى أو تجمعيها في تسلسل معين لإنشاء عمليات أخرى. 
يتم تنظيم الخدمات في البنية الموجهة نحو الخدمات 504 بداخل ما يسمى بالسجلء 
وفيه يمكن جمع خدمات منفصلة لتشكيل تطبيقات مركبة منهاء ومن ثم يتم تركيب بعضها 
مع بعض فيما يسمى مخطط البنية الموجهة نحو الخدمات نام اط 504. وبشكل 
عام تتعرض إدارة تقنية المعلومات إلى متاعب متعلقة بالبنية الموجهة نحو الخدمات 
ه504 عندما تقوم بتقييم مجمل الضوابط العامة في المؤسسة الخاصة بها ومراجعة ضوابط 
محددة في التطبيقات. وعلى الرغم من أننا لا نهدف هنا إلى تحويل القارئ إلى عَالم في 
الحاسب الآ أو مطور برهجيات: فإن هناك العديد من المفاهيع الهامة للبنية اللوجهة نحو 
الخدمات 508 التي قد يتعرض لها كل من المختصين في تقنية المعلومات والإدارة ا معنية 
عند مناقشة العمليات الخاصة بالبنية الموجهة نحو الخدمات 504 وهذه المفاهيم هي: 
٠‏ تحبب (تقسبمات) مكونات المنية الموجهة نحو الخدمات :(SOA Component Granularity)‏ 
وهو يصف لنا حجم المكونات التي تشكل النظام» إذ يحاول أي تطبيق بنية موجهة نحو 
تقديم خدمة (504) أن يشكل مكونات أكبر أو مكونات محببة خشنة تعرف بخدمات 
الأعمال. وهي التي يتم بناؤها غادة من مكونات أخرى أصغر تدعى مكونات الحبيبات 
الناعمة وكذلك مخ ات کے مو خا وهذا واقعي لأن المكونات ذات 
الحجم الكبير تجعل عملية فهم وإدارة وإعادة استخدام خدمات البنية الموجهة نحو 
تقديم الخدمة (504) أكثر سهولة بالنسبة للمؤسسة. 
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الفصل الثالث عشر 


شكل توضيحي (۱-۱۳) 


دور مجمع خدمات البنية الموجهة نحو الخدمات 504 
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أهمية البنية الموجهة نحو خدمات تقنية المعلومات لنظم حوكمة تقنية المعلومات 


٠‏ واجهة الخدمة مقابل مفاهيم التطبيق: قم بفصل ما تفعله الخدمة عن الكيفية التي 
تمكنها من فعل ذلك. ويعد ذلك أمراً هاما نظراً لتبسيطه للمبدأ الذي يشير إلى أنه يجب 
أن تركز رؤية مستخدم الأعمال للبنية الموجهة نحو الخدمات 504 على ما ستفعله 
الخدمة بدلا من تركيزه على تفاضيل عمل التقنية غير المرق: قياسا على نظام السيارات. 

٠‏ عقود البنية الموجهة نحو الخدمة 504: قم بتحديد الالتزامات بين مقدم الخدمة 
وا ملستهلك أو طالب الخدمة. وقد يتضمن ذلك احتمالات او توقعات للخدمة مثل 
الإتاحة والاعتمادية ومؤشرات الأداء الأساسية 12215 والتكلفة والدعم الفني. ويعد 
ذلك أمرا هاما نظرا لأنه يساعد مستخدمي الأعمال على اتخاذ قرارات أعمال منطقية 
وعقلانية فيما يخص اختيار الخدمات التي يمكنهم الاعتماد عليها. إن هذه المبادئ 
مشابهة لاتفاقيات مستوى الخدمة المطروحة في الفصل السابع عشر من هذا الكتاب. 

٠‏ مفاهيم التقارن أو الارتباط الضعيف (ع«نام 001 1:0056) في البنية الموجهة نحو 
شد جم خدمة :)S04(‏ وهي الطريقة التي تستخدم لتصميم خدماك اك مرونة وأقل 
اعتمادية بعضها على بعض. ويساعد ذلك في ضم الخدمات وإعادة تجميعها معا أو 
دمجها أو إعادة تركيبها. تعد البيئة الخاصة بالبنية الموجهة نحو الخدمات في ظل وجود 
عملبة التقارن او الارتىاط الضعيف 1125[منامء 10056 من الأمور الهامة نظرا لأن عملية 
تجميع حلول الأعمال من الوحدات البرمجية السابق إنشاؤها تكون أسرع من عملية 
كتابة كل وظيفة عمل جديدة من البداية. 

إن عملية تبني أو اعتماد المؤسسة للبنية الموجهة نحو الخدمات 504 ليست عبارة عن 
عملية إجراء تطبيق واحد في المرة الواحدة » وإنما هي بنية أو هيكلة شاملة يتم من خلالها 
تنظيم وربط جميع عمليات تقنية المعلومات بعضها مع بعض. فالخدمات المقدمة من 

خلال تطبيقات الإنترنت حيث هكن للمستخدم من أن يقوم بسحب أي مرجع .1117311 

فقط من خلال قيامه بالنقر المزدوج عليه لهو خير مثال على مفهوم البنية ا لموجهة نحو 

الخدمات 504. يوضح الشكل التوضيحي )7-١7(‏ التكوين الافتراضي للبنية الموجهة نحو 

الخدمات 504 على مستوى اللؤوؤسسة. 
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الفصل الثالث عشر 


شكل توضيحي (۳-۱۴) 


التركيب الخاص بالبنية الموجهة نحو الخدمات على مستوى اللؤسسة 
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أهمية البنية الموجهة نحو خدمات تقنية المعلومات لنظم حوكمة تقنية المعلومات 


يوجد في المستوى السفلي من الشكل مصادر بيانات المؤسسة ونظم أخرى متعددة 
المنصات. سيتم تعريف جميع العناصر على أنها خدمات كأحد التطبيقات الخاصة على 
سبيل المثالء والذي رما تم بناؤه من خليط من مكونات الخادم أو الحاسبات المركزية 
القديمة أو تطبيقات الويب حيث تم تجميعها مع المكونات المطلوبة من خلال ناقل الخدمة 
الموائم أو التطبيق المناسب. عندما تحتاج أي من خدمات التطبيقات تلك لعنصر من 
عناصر البيانات (خدمة أخرى) فإنه سيتم رفع الطلب إلى ناقل الاتصالات ثم يعود إلى مصدر 
البيانات المناسب. سيتم بناء مثل هذا التطبيق الشامل باستخدام أدوات تطوير برامج 
التطبيقات ال مقدمة من قبل ال مورد (البائع) كمايكروسوفت دوت نٽ" Microsoft Dot Net‏ 
أو أوراكل بيا ويب لوجيك" عذوه.آماء11 814 0۲۵٤1۵‏ وسيتم تهيئته وتنسيقه من خلال 
عمليات محددة وواضحة. 

في الغالب لن يجد المسئول التنفيذي في المؤسسة وال معني بهذا الأمر مثل هذه البيئة 
الكاملة للبنية الموجهة نحو الخدمات في المؤسسة التقليدية. وإنما ستقوم إدارة تقنية 
ا معلومات المؤسسية وبدعم من إدارتها بتطبيق البيثه الخاصة بالبنيه الموجهة نحو الخدمات 
خطوة خطوة بشكل نموذجيء متبعة في ذلك المخطط الشامل لبناء مثل هذا النموذج. 
فمع زيادة نمو استخدام خدمات الإنترنت التي أحاطت معظم برمجيات وبيئات تقنية 
المعلومات المباعة والمقدمة كمكونات برمجية مستقلة بدلا من أن تكون تطبيقات كاملةء 
يستطيع كبار مديري الأعمال أن يتوقعوا مشاهدة العديد من تطبيقات البنية الموجهة نحو 
الخدمات المتقدمة 504 الجزئية أو حتى الكاملة. 


حوكمة النة الموجهة نحو الخدمة وقضابا الرقابة الداخلية والمخاطر: 

لا تتم عملية تحول المؤسسة إلى بيئة البنية الموجهة نحو الخدمات الخاصة بتقنية 
ا لمعلومات فقط من خلال قيامها بشراء حزمة من البرمجيات وبتدريب الكادر التقني 
على استخدامها ومن ثم افتراض توجه الكادر نحو تطبيقه والعمل به. إن البنية اللموجهة 
نحو الخدمات 504 هي أكثر من مجرد طريقة جديدة لتنظيم نظم تقنية المعلومات 
الموجودة حالياء فهي بحاجة إلى تخطيط مفصل للانتقال إلى تلك البيئة الجديدةء وكذلك 
إلى سياسات وإجراءات جديدة لتقنية المعلومات. وما هو أهم من ذلك» هو حاجتها إلى 
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الفصل الثالث عشر 


تطبيق تدريجي ومنظم جد بحيث يتم جلب عمليات تقنية المعلومات إلى بيئة البنية 
الموجهة نحو الخدمات 504 بطريقة مُحْكمة. في بعض الحالات نرى أن مزايا وفوائد 
العمليات التشغيلية للبنية الموجهة نحو الخدمات 504 ستكون واضحة أمام كبار المديرين 
وغيرهم. على سبيل المثال» فإن أي مؤسسة قامت بتحويل قسم كبير من تطبيقاتها إلى بيئة 
الويب المعتمدة على جافا 378[ أو دوت نت 00-6 فإنها تستطيع غالبا وبكل سهولة 
تبرير وتأييد مزايا تحول أنظمتها القديمة والعمليات الأخرى إلى بيئة البنية الموجهة نحو 
الخدمات 504. 


ينبغي على كبار المديرين ال معنيين تكوين فهم جيد وعام عن عمليات البنية الموجهة نحو 
الخدمات 5048: هذا بالإضافة إلى فهم بعض الخطوات الضرورية اللازمة لإدارة المؤسسة 
ولمهام تقنية المعلومات لديهم لكي يتم الانتقال إلى البنية الموجهة نحو الخدمات 508. 
بعض تلك الخطوات تتطلب فهم الضوابط الداخلية لحوكمة تقنية المعلومات: كما تحدثنا 
في الفصل الرابع من هذا الكتاب. كما ينبغي أيضا على كبار المديرين أن يكونوا مرنين مع 
ضوابط البنية التحتية لتقنية المعلومات الخاصة في بيئة البنية الموجهة نحو الخدمات 504 
هذا بالإضافة إلى فهمهم الجيد لضوابط إدارة المشروعات. كما سترى في الفصل السادس 
عشر من هذا الكتاب. يحتاج المدير العام المهتم إلى فهم القليل من خصائص البنية الموجهة 
نحو الخدمات 504 وحوكمتها وقضايا الرقابة الداخلية والمخاطر المتعلقة بها. سنتحدث 
في هذا الفصل باختصار عن تطبيق العمليات الفعالة الخاصة بالبنية الموجهة نحو الخدمات 
4,. من وجهة نظر حوكمة تقنية المعلومات. وستناقش الأقسام التالية أهمية كل من 
إعداد المخططات الأولية والتفصيلية لتطبيق البنية الموجهة نحو الخدمات 504 وتنظيف 
التطبيقات والعلميات القائمة حالياً بشكل استباقيء وتأسيس سياسات وإجراءات مناسبة 
للبنية الموجهة نحو الخدمات 504 وفحص وتطبيق البنية الموجهة نحو الخدمات 504 › 
بطريقة فعالة. 


تخطيط وبناء مخطط تطسق اللنية الموجهة نحو الخدمة وتنفيذه: 
يشير الحرف الثالث للاختصار 504 إلى (البنية) 11116©]1116ع1قء فإنشاء البنشية الفعالة 
يعد بمثابة الخطوة الأولى الأساسية لإطلاق بيئة البنية الموجهة نحو الخدمات 508 في 


أهمية البنية الموجهة نحو خدمات تقنية المعلومات لنظم حوكمة تقنية المعلومات 


المؤسسة. قد يكون المدير التنفيذي للمعلومات C10‏ في المؤسسة قد تعرض للمفاهيم 
الخاصة بهذا المصطلح أو أن تكون المؤسسة قد قامت بتنفيذ تطبيق مفرد شبيه ببيئة البنية 
الموجهة نحو الخدمات 504 والذي نال الكثير من التعليقات الحماسية والثناء» ولكن 
المؤسسة بحاجة إلى بناء خطة شاملة أو إطار عمل لإطلاق أي تطبيق أو تنفيذ أي عملية 
تخص البنيه الموجهة نحو الخدمات 508. 


إن الفكرة الرئيسية للوصول إلى البنية الفعالة الموجهة نحو الخدمات هو تحديد الخطة 
الموجودة أو بناء الخدمة باستخدام الوحدات المبنية التي ستعرف 504. وكما تحدثنا 
سابقاء فإنه يجب أن تظهر خدمات 504 كما لو كانت أشبه بمجموعة من القطع الخاصة 
بلعبة الليغو 1.800 وهي لعبة الأطفال الشائعة حيث يمكن من خلالها تركيب تلك القطع 
لتكوين مجموعة مختلفة من الهياكل المعقدة ثم يتم فصل بعضها عن بعض لتركيب هيكل 
أو شكل آخر مختلف. على كل حالء فإن خدمات 504 أكثر من مجرد قطع خاصة بلعبة 
الليغو والتي يمكنها فقط أن تكون بأشكال مكعبات أو مثلثات. فخدمات 5084 أوسع 

كشو وقد روكوق ليا العديذ هن الأحاد الاشعلقة عمواما. لذا تق أن قحد نة 95 

للمؤسسة عناصر الخدمات اللختلفة الخاصة بها والمستفيدين من الخدمات. هذا بالإضافة 

إلى مسار تدفق النشاطات ونقاط اتخاذ القرارات بين المستفيدين المعنيين بالعملية على 

النحو التالي: 

٠‏ أصحاب الأعمال: يعمل امالك أو مستخدم النظم على توفير متطلبات التطبيق اللازمة 
لتنفيذ أحد القدرات أو الحلول أو العمليات الجديدة الخاصة بالأعمال. كما يجب على 
صاحب العمل أو أعضاء فريق دعم تقنية المعلومات أن يقوموا بتطوير نماذج الأعمال 
business mode‏ وذلك لتسهيل فهم أي متطلبات خاصة بخدمات تطبيق تقنية 
المغلومات. كما يحتاج ضاحب العمل أيضا إلى تحديد المتطلبات غير الوظيفية كجودة 
الخدمة المتوقعة بالنسبة للقدرة أو الحل أو العملية. 

٠‏ مهندسو 504: لإطلاق مبادرة البنية الموجهة نحو الخدمات 504 تحتاج المؤسسة إلى 
تعيين مهندس ماهر في 504 لكي يقوم بتحليل متطلبات الأعمال والخروج منها بتصاميم 
خدمات وأعمال. وقد يقرر مهندس 504 على سبيل المثال» أن يعيد استخدام مكونات 
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الفصل الثالث عشر 


موجودة خالا بدلا من إنشاء مكونات جديدة. وعندما يقترح المهندس تنفيذ خدمة أو 
عملية جديدة أو التغيير في خدمة أو عملية موجودة: فإنه يجب عليه تسليم مواصفات 
التصميم الخاصة بمخططات الحالة والنماذج العملية وتصميم الواجهات. كما يعمل 
مهندس 504 على صياغة المتطلبات غير الوظيفية للمكون المراد تطبيقه بشكل رسمي 
نكما الاتطلبات اة العا والأمق والأداء اللخاضة يم 


٠‏ مطورو التطبيقات: يقوم مطور التطبيقات بتنفيذ المكونات بناء على مواصفات التصميم 
المقدمة من مهندس 504: ووضع الضوابط الداخليةء ووضع خطط الفحص أو الاختبار 
بناء على هذه المواصفات. وللمساعدة في تحقيق التقارب بين التقنية والمنهجية: فإنه 
ينبغي على مطور التطبيقات استخدام الأجزاء التي وضعها مهندس 504 من أجل 
التنفيذ متضمنة الأكواذ البرمجية ونموذج التحسينات. 

٠‏ مدير الجودة: يجب على مدير الجودة في المؤسسة أن يستخدم المدخلات التي قام كل 
من صاحب العمل والمهندس والمطور بتقديمها لمراجعة وتدقيق مدى صحة الخدمة أو 
العملية التي تم تنفيذها. ثم يقوم مدير الجودة بعد ذلك باستخدام خطط الفحص 
أو الاختبار التي قام المطور بتسليمها ليقوم بتنفيذ اختبار الحلول المقدمة في البيئة 
التجريبية ويتحقق من سلامة مقاييس الجودة والآثار الجانبية والخصائص غير الوظيفية. 

بمجرد أن يتم تحديد الفريق الرئيسي للعمل» فإنه ينبغي على المؤسسة تطوير مخطط 
لبيئة 504 الذي يشير إلى حالة الهدف المطلوبء أو إلى الصورة الكاملة لما ينبغي أن يظهر 
به تطبيق 504 بعد اكتماله. يجب على مخطط 504 ف المقام الأول أن يضع كل خدمات 
الأعمال التي يتعين القيام بها ومتطلبات وصف الخدمات ذات العلاقة ومقاييس الأداء 

ومعايير التشغيل البيني أو التبادلي. 

إن من شأن مخطط كهذا أن يقدم ملخصا شاملا وحتى "أوامر السير" بشأن الوضع الذي 
ترغب المؤسسة وإدارة تقنية المعلومات في الانتقال إليه مع 504. بالطبع فإنه يجب على 
المؤسسة ألا تبدأ بتنفيذ أو حتى توافق على إستراتيجية 504 ما لم يكن هناك فهم جيد 
للفوائد التي سيتم تحقيقها من هذا النهج. يوضح الشكل التوضيحي )-١7(‏ بعض الفوائد 

الرئيسية التي يجب أن تدركها المؤسسة جراء الانتقال إلى بيئة 50/84. 
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انتقال التطبيقات والعمليات القائمة حالما إلى بيئة 504: 

إن انتقال العمليات والتطبيقات الموجودة سواء كانت نظما قدهة أو تطبيقات قائمة 
على الخادم أو تطبيقات أكثر حداثة كتطبيقات الهواتف المحمولة القائمة على شبكة الويب 
قد يشوبه بعض التحديات نفسها والتي قد يتذكرها بعض العاملين القدامى في أواخر 
تسعينيات القرن الماضي وهو الخوف من مشكلة العام ٠٠٠١‏ (۲2). وعلى الرغم من 
نسيان معظم الأخصائيين لذلك: فإن العديد من البرامج القائمة على لغة البرمجة .0701© 
التي تم بناؤها في تسعينيات وتمانينيات القرن الماضي أو حتى قبل ذلك الوقت» كانت 
بها حقول خاصة بتاريخ التقويم النظامي بالصيغة 77212100آ7. وقد اعتمدت العديد 
من القرارات البرمجية المرتبطة بتواريخ مختلفة على اتخاذ الإجراءات النظامية عن طريق 
ترتيب هذه التواريخ. وقد تسبب العام ٠٠٠١‏ في تسجيل هذه القرارات البرمجية القائمة 
على التاريخ ب .٠٠٠١‏ لقد كانت المخاوف تدور حول أن العديد من النظم سوف تتوقف 
نظرا لتواريخ البرامج غير الصالحة والخارجة عن المدى أو التسلسالء كما أن عملية التوثيق 
بالنسبة للعديد من التطبيقات وقتها كانت ضعيفة. وقد بذلت الإدارات الرئيسية ومدققو 
تقنة العلومات جهودا كبيرة للاستعداد لمشكلة ¥2 


دلبل المسئول التنفيذي لحوكمة تقنية ا لمعلومات E0‏ 


الفصل الثالث عشر 


شكل توضيحي (7١-؟)‏ 
الفوائد الرئيسية جراء استخدام بيئة 5048 
في ما يلي النقاط التي يجب أخذها في الاعتبار من قبل إدارة تقنية المعلومات والإدارة العامة في 
تحول نظم وخدمات تقنية المعلومات الخاصة بهم إلى بيئة البنية الموجهة نحو الخدمات 504. 
تحسين رؤية الأعمال: تعمل بيئة 504 عموما على تكامل النظم الموجودة وتجميع بيانات من 
وجهات نظر أكثر ثباتا ودقة لبيانات العملاء والتي تتضمن: 
« معلومات حتى هذه اللحظة لتحسين خدمة العملاء. 


ه معلومات غر المؤسسة تستهدف (1:1) من النشاظات. 


م معلومات متتاغمة وذقيقة وأكثر شمولا تساعد على اتخاذ قرارات أفضل. 


تحقيق مرونة الأعمال: في حال التطبيق الكامل» بإمكان بيئة 504 إيجاد بنية تحتية لبرامج 
تكاملية ورشيقة لتحقيق الاستجابة السريعة لحاجات الأعمال: 


« التسليم السريع لقدرات الأعمال الجيدة. 

ه يقلل الآثار الناجمة عن تغير الأعمال والتقنية. 

٠‏ حماية الاستثمارات أثناء خلق وظيفة جديدة. 

كسب كفاءة الأعمال: تبسيط وأتمتة وتمكين تتبع ورؤية أفضل لعمليات الأعمال في المؤسسة: 

* مشاركة وتبادل عمليات الأعمال بشكل سري داخل وخارج الجدار الناري لنظم تقنية المعلومات. 

٠‏ إنشاء جسور بين مخازن البيانات لضمان سلامة البيانات على نحو أفضل. 

« إدارة القرارات الخاصة بالأعمال بصورة استباقية من خلال مؤشرات أداء رئيسية من مصادر 
أخرى. 

تحسين عمليات حوكمة تقنية المعلومات: نظرا لقيام بيئة 504 بتصنيف وتنظيم جميع عمليات 
تقنية المعلومات في المؤسسة بشكل أفضلء فإنه سيتم إدارة وضبط الحوكمة والرقابة الشاملة لهذه 
العمليات بشكل أفضل. 
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وتتعرض إدارات تقنية المعلومات لبعض القضايا المشابهة عندما تخطط وتعد للتحول 
إلى 504. وفي حين أن المخاوف هذه الأيام ليست في تواريخ .00801 ذات الصيغة 
4 غير الموثقة: فإن الإدارة التقليدية لتقنية المعلومات لديها طبقات من التطبيقات 
والبرامج والنظم الزائدة التي لا يمكن الوصول إليها قي الغالب على نحو متبادل (ومشاركتها)» 
وكذلك العديد من التكاملات غير المتناغمة التي تحدث من نقطة إلى أخرى في تطبيقاتها. 
وربما تمثل هذه المشاكل التحدي الأكبر في موضوع تطبيق العمليات الفعالة لبيئة 508. 
وبالنسبة لأي فريق يقوم بتطبيق بيئة 504 على مستوى المؤسسة: إذا لم يكن هذا الفريق 
مُلماً بالنظم والعمليات والهياكل التنظيمية لتقنية المعلومات القائمة حالياً فهناك احتمال 
قوي أن يفشل تطبيق 0۸؟. 


سياسات وإجراءات بيئة 5084: 

إن المفهوم العام الشامل والرائع لبيئة 504 هو أنها تقوم باستخدام وحدات خدمية 
يمكن تجميعها وإعاذة تجميعها أسوة با مال الذي أشرنا إليه سابقا عن القطع الخاصة 
بلعبة الليغو. على كل حال فإن بيئة 504 لن تعمل في المؤسسة على نحو جيد في حال 
قررت إحدى وحدات الأعمال فيها بأنها تريد أن تكون مختلفة بعض الشيء وأن الوحدات 
الخدمية الخاصه بها قي الواقع لا تتناسب مع غيرها. فباستخدام مثالنا الخاص بقطع لعبة 
الليغو قرا يكون هناك وحدة معينة ترغب في أن تكون القطع الخاص بها بحجم.مختلف. 
وهي في هذه الحالة لن تتناسب مع أي من الوحدات الأخرى. 

وعان ارم مق أن هناك ذاقا أسياباً وراء حاجة وحدة أو أخرق من وحندات الأعمال 
إلى أن تكون مختلفة (كالقضايا الأمنية العالية)» فمن الطبيعي أن تحتاج المؤسسة إلى نوع 
من أنواع السلطة المنوط بها وضع المعاييرء وذلك لوضع السياسات وسن القوانين المتعلقة 
بخدمات 504 الخاصة بها. بالنسبة للعديد من المؤسسات. فإن الكيانات الحكومية التي 
تقوم بوضع وفرض السياسات الخاصة ب 504 ومعايير المؤسسة تسمى عادة مراكز .م50 
للإبداع أو مراكز الجدارة 504. وتتكون مراكز الجدارة تلك من ممثلين أو وكلاء من كل 
وحدة من وحدات الأعمال التي تتأثر مخطط وخطط 504 الخاصة بالمؤسسة. فتقريبا كل 
جزء من أجزاء مخطط 504 الخاض باللؤسسة - متضمناً ذلك الخدهات الثى سيتم بناؤهاء 


دلبل المسئول التنفيذي لحوكمة تقنية المعلومات EV‏ 


الفصل الثالث عشر 


وكيفية تحديدهاء وكيفية التشغيل البيني لها - سيقوم بتعريف سياسات 504 الخاصة 
اسم ةا يكل خي ونظرا لاحتواء مخطط 504 الخاص با مؤسسة على العديد من 
السياسات الضمنية. فمن لمهم ا أن يكون أول اجراء ده مک الجدارة الخاض ب 
4۸ والذي تم إنشاؤه مرا هو التصديق غلى هذا المخطط واعتباره هدفا مشتركا. 


ومن امهم بالطبع بالنسبة لكل مجموعة معنية بداخل المؤسسة أن تفهم الآثار الناتجة 
عن مخطط البنية الموجهة نحو الخدمات (504) وتوافق عليها نظرا لتأثيرها ف أعمالها 
ونشاطاتها اليومية. ولهذا السببء فإن التصديق على مخطط 504 لا يجب أن يأخذ شكل 
الموافقة الروتينية دون دراسة. بل يجب على كل شخص معني التفكير ملياً ليعرف كيف 
ستؤثر هذه الرؤية للبثية الموجهة نحو الخدمات 504 فيه متضمنا ذلك النتائج الشاملة 
لحوكمة تقنية المعلومات. 

ينبغي على المؤسسة وضع سياسات الامتثال متابعة وتقييم التنفيذ الإلزامي لسياسات 
وعمليات بيئة 5084 الخاصة بها. هذا من شأنه أن يضع "قواعد الطريق" ويوفر الحكم 
على نشاطات بيئة 504 القانئمة على المخطط المتفق عليه. إن عمليات التنفيذ الآلي مفضلة 
عن التنفيذ حسب ال مكان الذي يمكن أن تطبق فيه. على كل حالء لا يمكن أتمتة جميع 
السياسات» فقد يكون هناك بعض الخطوات التي تتطلب التقييم والتدخل البشري. 

تغطي الحوكمة السليمة لبيئة 504 عدة نقاط إلزامية خلال الدورة الكاملة لحياة 
الخدمة. يصف الشكل التوضيحي )6-١7(‏ أدوار ومسؤوليات الأشخاص الرئيسيين 
المشاركين في تطبيق بيئة 504 والذين أصبحوا جزءأ لا يتجزأ من دورة حياة تطوير 
النظم الخاصة بتلك البيئة. سيتم الحديث عن المفاهيم الخاصة بدورة حياة تطوير 
النظم System Development Life Cycle (SDLC)‏ وأهميتهيا في حوكمة تقنية 
المعلومات في الفصل الخامس عشر من هذا الكتاب والذي يدور حول موضوع تطبيق 
نظم تقنية المعلومات المتكاملة. يتم تقسيم سياسات وعمليات بيئة 504 عادة إلى 
فئتين هما: )١(‏ سياسات حوكمة أثناء التصميم لضمان توافق أدوات بيئة 504 مع 
متطلبات التصميم المنصوص عليها في مخطط بيئة 508. (7) سياسات حوكمة أثناء 
التنفيذ لضمان توافق خدمات 504 مع متطلبات التشغيل التي تم التفاوض بشأنها 
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بين مقدم الخدمة والمستهلك. إن هذه العمليات الخاصة بحوكمة بيئة 504 تشبه 
بعض الشيء اتفاقيات مستوى الخدمة 51.45 التي تمت مناقشتها في الفصل السابع عشر 
من هذا الكتاب: حيث ستقبل العملات التق غيلية لتقنية اللمعلومات بشكل رسي 
بتوفير التعاملات الخاصة بمجموعهة المستخدمين وفقا لجدول زمني متفق عليه 00 
كما ستقوم تقنية المعلومات بتسليم ملف التحديثات والعمليات المنجزة وفقا للجدول 
الزمني نفسه المتفق عليه. فمن خلال 504 هكن أن نقوم بعمل سلسلة من الاتفاقيات 
الصغيرة بين مقدمي ومستهلكي الخدمات. 
شكل توضيحي )٤-۱۴(‏ 
أدوار ونسؤوايات” أصحاب ا ج ډور ة حياة بيئة 504. 

تقوم دورة حياة بيئة 504 بوصف وتنفيذ سلسلة من النشاطات ونقاط اتخاذ القرار بين ات 


المصلحة - مستخدمين وتقنية معلومات - المعنين بهذه العملية. ينبغي أن تشتمل دورة حباة تطوير 
بيئة 504 الفئات التالية من المشاركين الرئيسيين: 


أصحاب الأعمال: يقوم أصحاب الأعمال في بيئة 504 بتوفير المتطلبات اللازمة للأعمال المزمع 
تنشيذها متضمنا ذلك الإمكانات أو الحلول أو العمليات. وأفضل طريقة لصباغة هذه المتطلبات 
هو أن يتم وضعها في نموذج عمليات الدعم والذي يقوم بتغطية نشاط الخدمة. فاستخدام نماذج 
العمليات يسهم في توفير بيئة تجعل عملية فهم متطلبات تطبيق تقنية المعلومات أكثر سهولة. كما 
باع ضاحب العمل أيضًا إل قدي الاقيليات غير الوظيفية (مثل جودة الخدمة) للقنارة أو الل 


أو العملية. 


المهندس المعماري لبيئة 504: عادة ما يقوم المهندس المعماري لبيئة 50۸ بصفته عضواً أساسياً في 
فريق تقنية ال معلومات» بتحليل متطلبات الأعمال وتقسيمها إلى عناصر خاصة بتصميم عملية الخدمة. 
فقديقرر المهندس إعادة استخدام أحد المكونات الموجودة بدلا من إنشاء مكون جديد. في هذه 
الحالة فإنه سيقرر تحويل هذا المكون إلى عنصر في دورة حياة بيئة 504 ليتمكن من إعادة استخدام 
هذا المكون القائم حاليا. عندما يتم تحديد الخدمة أو العملية الجديدة أو المراد تطبيقهاء فإن 
مهندس 504 يقوم بتسليم مواصفات التصميم في شكل مخططات الحالة ونماذج العملية وتصاميم 
للواجهات الأمامية. كما يعمل مهندس 504 على صياغة المتطلبات غير الوظيفية للمكون المراد 
تطبيقه بشكل رسمي متضمنا الإتاحة والأمن والأداء. 





دليل المسئول التنفيذي لحوكمة تقنية المعلومات ۲۹ 


الفصل الثالث عشر 


مطور بيئة 504: يقوم المطور بتنفيذ المكونات بناء على مواصفات التصميم المقدمة من مهندس 
بيقة 504 كمايقوة أيضا بإنغاء خطط اختبار بناءٌ على هذه المواصقات. وللمساعدة في تحقيق 
التقارب بين التقنية وا منهجيةء فإنه ينبغي على ا مطور استخدام الأجزاء التي وضعها مهندس 50۸4 
لتطبيقها متضمنا ذلك الأكواد البرمجية وأدوات تحسين النموذج. 


مدير الجودة في بيئة 504: يستخدم مدير الجودة المدخلات التي قام كل من صاحب العمل 
وا مهندس والمطور بتوفيرها لمراجعة وتدقيق مدى صحة الخدمة أو العملية التي تم تنفيذها. ثم 
يقوم مدير الجودة بعد ذلك باستخدام خطط الفحص أو الاختبار التي قام المطور بتسليمها ليقوم 
بتنفيذ اختبار الحلول المقدمة في البيئة التجريبية والتحقق من سلامة مقاييس الجودة والآثار الجانبية 
والخصائص غير الوظيفية. 


مشغل بيئة 504: يقوم المشغل باستقبال الحلول التي تم اختبارها والتأكد من صحتها ويقوم 
بتطبيقها داخل العمليات ال معيارية لتقنية المعلومات لجعل هذا الحل متاحا للمستخدمين وال مستهلكين 
له. حيث يقوم هو أو هي باستخدام المواصفات التي تمت صياغتها والخاصة بالمتطلبات غير الوظيفية 
لتشغيل الحلول الافتراضية التي تتفق مع اتفاقيات مستوى الخدمة 514s‏ المطلوبة من قبل مستهلكي 
التطبيقات. إن الحلول الخاصة بحوكمة تشغيل 504 هي التي تقدم هذه الأنواع من القدرات من 
خلال فرض المتطلبات غير الوظيفية واتفاقيات مستوى الخدمة. 





سياسات بيئة البنية الموجهة نحو الخدمات 504 خلال فترة التصميم: 
إن العنصر الرئيسي في سياسات وعمليات بيئة 504 وقت التصميم هو ضمان أن 

الخدمات سيتم بناؤها وفقا للمواصفات المحددة في الخطة الخاصة مخطط بيئة 504. 

وعلى وجه الخصوصء فإنه ينبغي تصميم سياسات لضبط وتقييد تصرفات وسلوك مصممي 

ومطوري الخدمات نيابة عن كل جهود بناء بيئة 504 في المجالات العامة التالية: 

٠‏ قابلية التشغيل البيني: لا بد من التصريح في مخطط 504 عن وسائل موحدة لتوفير 
التشغيل البينى بين خدمات تقنية المعلومات. ويكون ذلك عادة من خلال مجموعة من 
لخا 

٠‏ قابلية الاكتشاف: قد تحتاج الخدمات لسمات أو خصائص محددة كوصف سهل للعمل 
ومعلومات متعلقة بموقع الخدمة داخل بيان للتصنيف أو التسجيل الذي قد تم إنشاؤه 


ع دليل المسئول التنفيذي لحوكمة تقنية المعلومات 


أهمية البنية الموجهة نحو خدمات تقنية المعلومات لنظم حوكمة تقنية المعلومات 


من قبل. إن هذه العناصر تجعل من الممكن اكتشاف ومعرفة الخدمات التي يمكن أن 
تحدد أو تعرف لاحقا من خلال السياسة. 

٠‏ الأمن: ينبغي التصريح في مخطط 504 عن وسائل موحدة لتوفير الأمن عبر جميع خدمات 
0.. كما ينبغي أن يكون نمط ومعاملات هذا الأمن متسقا مع كل الممارسات الخاصة 
بحوكمة أمن تقنية المعلومات في المؤسسة. كما ناقشنا في الفصل العاشر من هذا الكتاب. 

٠‏ التفرد: لا يجب أن يكون للخدمات الجديدة أسماء الخدمات نفسها التى تم إنشاؤها 
من قبل. يمكن للسياسات أن تساعد في التأكد من أن المجموعات لا تواجه هذه المشكلة. 

٠‏ امتثال الواجهة: إن طريقة استخدام وتدشين جميع الخدمات يجب أن تكون موحدة. 
ومع أن خدمات 50۸ تعد أكثر من مجرد عناصر برمجية لتقنية اللعلومات: فان هذه 
العملية مشابهة لأمر التشغيل 01111113110) 181111 الموجود في نظام ميكروسوفت ويندوز. 
لذا يجب أن يتم فرض هذا الشكل ال معياري للواجهة عن طريق السياسة. 

٠‏ امتثال صيغ البيانات: كما ذكرناء يجب أن يكون الهدف الرئيسى لخدمات 504 هو 
إعادة استخدام عناصر الخدمات. فالطريقة الشائعة للمحافظة على هذه الميزة (إعادة 
الاستخدام) هى إنشاء صيغ بيانات مشتركة تعرف بالمخططات 65335<ك5. إذ القيام بهذا 
العمل سيضمن إمكانية استخدام حقل العنوان التابع لإحدى الخدمات من قبل خدمة 
أخرى حتى لو كان هناك اختلاف في الطريقة التي تحزن بها الخدمات بياناتها. لذا يجب 
أن يتم فرض المخططات المشتركة عن طريق السياسة. 

٠‏ اللقاييس: يجب أيضا القيام بوضع معلومات وتقارير إحصائية تعلق بقضايا تصميم 
الخدمة من خلال السيامة. لن تتمكن المؤسسة ولا فريق تدقيق تقنية المخلومات هن 
قياس العمليات التشغيلية لبيئة 504 ما لحم يكن هناك بعض الممقاييس الموضوعة لكل من 
الأهداف والحد الأدنى من معايير الأداء الخاصة بالتشغيل. 


يحب أن تتصل عمليات 504۸ خلال التصميم بصورة نمطية مع دورة حياة تطوير 
النظم 1G‏ الخاصه بالمؤسسة. وسيتم الحديث عن دورة حياة تطوير النظم وأهميتها 


دلبل المسئول التنفيذي لحوكمة تقنية المعلومات اماع 


الفصل الثالث عشر 


دورة حياة تطوير خدمات مشابية في هذه الحالة. إن اعتماد بيئة 504 يطرح تحديات 
بالنسبة للمؤسسات التي اعتادت استخدام تطبيقات تقنية المعلومات كوسيلة لمعالجة 
المتطلبات الخاصة بالتطبيقات. عادة ما يشار إلى الهياكل والعمليات الجديدة بدورة حياة 
4 والتي تكون مطلوبة لتوفير الأساس للرشاقة التنظيمية وتروج لنجاح عملية اعتماد 
بيئة 504. حيث أصبح دمج عمليات دورة حياة 504 مع الهياكل التنظيمية الفعالة من 
العناصر الرئيسية في إطلاق العمليات الفعالة لبيئة 04؟. 


تقع معظم أقسام تقنية المعلومات في المئؤسسة تحت ضغط شديد من أجل تقديم 
حلول فعالة من حيث التكلفة والوقت لعمليات التشغيل الخاصة بأعمالها. ولتحقيق 
أهداف هذه الحلول فإن هذه الإدارات تستخدم مكونات ووحدات تقنية وتنظيمية 
مشتركة» هذا بالإضافة إلى استخدام المبادرات التي تتم عبر اطمشاريع» وذلك لتعزيز التعاون 
من خلال قسم تقنية المعلومات. فعندما يتم الجمع بين هذه الحلول العقلية الخاصة 
بتقديم الخدمات (كما هو الحال في الخدمة ذات القيمة وليس كما في التقنية)» فإنه من 
الممكن لإدارة تقنية المعلومات أن تجد نفسها تتحرك باتجاه الطريق المؤدي إلى بيثة 50۸4. 

وكجزء من هذا الطريق المؤدي إلى بيئة 504: فإنه ينبغي على جميع الأطراف سواء 
كانت تقنية المعلومات أو الإدارة أن يكون لديهم العقلية التي تفكر من حيث سلاسل 
القيمة والتي تدرك أن هذه الخدمة هي عبارة عن شيء تم إيجاده لتحقيق رضا العملاء. 
ومع أنه لا يمكن إنكار أن القول أسهل من التطبيق الفعال» فإن المؤسسة بحاجة إلى إنهاء 
التفكير التقليدي بالتطبيقات المركزيةء وذلك من خلال تطبيق عمليات تنظيمية مهيكلة 
تتخطى حدود المشروع ودورات حياتها. عندما تتحد العقلانية وا منهجية والأشخاص 
والمنظمة والتقنية بشكل ناجح» عندها يمكن أن يعود تبني 504 بفوائد عظيمة على 
المؤسسة من حيث الحجم والفاعلية وخصوصا الخفة والرشاقة. 


سياسات وعمليات بيئة 504 خلال التشغيل: 
يتضمن وقت التشغيل عملية التطوير بالكاملء والتجريب» والإنتاجية لنظم بيئة 504. 
وسينتج عن سياسات الحوكمة خلال التشغيل احتكاكات سياسية أقل داخل المؤسسة نظرا 


أهمية البنية الموجهة نحو خدمات تقنية المعلومات لنظم حوكمة تقنية المعلومات 


لأنها في الغالب تقيد نظم تقنية المعلومات بالنيابة عن مستهلي خدمة 504. بالنسبة 

للجزء الأكبرء فإن السياسات الخاصة بوقت التشغيل تكون موجودة للتأكد من أن الخدمات 

تعمل "كما ينبغي" طبقا لتوقعات متلقي الخدمة. ويشمل هذا: 

٠‏ اتفاقيات مستوى الخدمة 51.48: تمت مناقشة هذه الاتفاقيات في الفصل السابع عشر 
من هذا الكتاب. حيث يجب أن يتفق كل من مقدمي خدمات 5048 ومستهلكيها على 
التوقعات الخاصة بالأداء طبقا لاتفاقية مستوى 2 هذا بالإضافة إلى المقاييس التي 
تثبت بأن الخدمات تعمل كما هو متوقع. 

٠‏ التحقق: يجب أيضا أن يتفق كل من مقدمي ومستهلكي الخدمات على الطريقة التي 
يجب اتباعها لتحديد هوية المستهلكين للتعريف عن أنفسهم. فبناء على معايير الحوكمة 
الخاصة بوقت التشغيلء فإنه ينبغي أن يتضمن التحقق قضايا مثل نظم تحديد الهوية 
واستخدام بطاقات الأمن. 

٠‏ التصريح: يجب أن يكون هناك عمليات أمنية معمول بها لتحديد ما إذا كان مقدم 
الخدمة مسموحاً له استدعاء الخدمة أم لا. 

٠‏ التشفير: وهو جزء من العمليات القوية لأمن المعلومات. لذا يجب أن يكون هناك 
معايير تشفير لإبقاء الرسائل مشفرة أو مشوشة بحيث لا يمكن قراءتها بسهولة من قبل 
أشخاص غير مصرح لهم. 

٠‏ التنبيهات والإشعارات: يجب وضع شروط لإطلاق التنبيهات من خلال إجراءات وذلك 

لإرسالها إلى المعنيين. ويمكن أن تشير التنبيهات إلى شروط خاصة بالأعمال وكذلك شروط 


تقشك 
ع 


٠‏ المقاييس: ينبغي وضع مؤشرات أداء رئيسية ومقاييس أثناء التشغيل لتوفير مؤشرات 
يمكن استخدامها لاحقا لتقييم الأداء. 
تقوم السياسات الخاصة بوقت التشغيل عادة بالتشديد على الفريق المسئول عن 
عمليات تشغيل تقنية المعلومات ونظم تقنية ا معلومات بالنيابة عن مستهلك الخدمة. 
حيث يمكن أن تشمل هذه العمليات طلبات الدعم الفنى والاستجابة الفورية للتنبيهات 


دليل المسئول التنفيذي لحوكمة تقنية ا معلومات Err‏ 
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والإشعارات. ويعد تمكين طلب الاستجابة الأكثر سرعة لتغيير الشروط الخاصة بوقت 
التشغيل من الأمور المهمة في بيئة 50/8. 

قافا كما هو العال الف قاط الف الحمكة الموجودة عن خدوة الدولة 
والتي وم بفحص كل من جواز بحر والأمتعة. فإن العملية الفعالة لحوكمة تقنية 
المعلومات تضع نقاط تفتيش للتأكد من أن الاتفاقيات بين الإدارات يجري تنفيذها والالتزاه 
بهاء متضمنا ذلك مستودع سجل خدمات 504 الذي يعتبر بمثابة نقطة إنفاذ لسياسات 
وعمليات 504 خلال وقت التصميم. لذا يجب أن يكون لدى نظام برمجيات التحكم 
وسائل للعمل في نقاط إنفاذ للسياسات والعمليات الخاصة بتشغيل 5084؟ متضمنا ذلك 
عمليات التحقق من الرسائلء وذلك لضمان التأكد من أنه مصرح لها باستدعاء الخدمة 
ويعد هذا أحد المطالب التشغيلية المهمة. 

لقد أكدنا أهمية اتفاقيات مستوى الخدمة 514s‏ في العديد من الأماكن خلال حديثنا 
عن عمليات بيئة 504. حيث تقوم اتفاقيات مستوى الخدمة المعرفة جيداً والتي يتم 
متابعتها على نحو جيد مراقبة صحة وأداء الخدمة وضمان تقديم الخدمات للمستهلكين 
كما تم الاتفاق عليه. 

تتغير متطلبات وسمات بيئة 504 المشار إليها في الفقرات السابقة باستمرار أكثر بكثير 
من أي منطق وظيفي للخدمة. لذا يجب أن يدرك كبار المديرين أن المهمة الأساسية لحوكمة 
بيئة 504 هي تعزيز وضمان السلوك ال مرغوب فيه بين الأشخاص المشاركين والنظم. كما 
يجب على إدارة تقنية المعلومات الإفصاح بوضوح عن سياسات بيئة 504 الخاصة بهاء ثم 
تقوم بعد ذلك بفرض هذه السياسات بشكل متناغم وتابت طوال دورة حياة بيئة 50۸. 

في الأيام الأولى لظهور 504 كان مهندسو هذه البيئة يقضون عدة أسابيع أو حتى شهور 
ليقوموا بعملية التوثيق الدقيق لهذه السياسات في كتب ضخمة والتي م يهتم أحد بقراءتها. 
وهذا أشمه بالخطط القديمة للتعافي من كوارث تقنية المعلومات التي أصحت تسس الان 
خطط استمرارية تقنية المعلومات كما وضحنا في الفصل العاشر من هذا الكتاب. فإن لم 
تكن عملية تحفيز المشاركين على الإلمام بهذه السياسات مسألة تتسم بالصعوبة الشديدة 
فإن إجراء التغييرات على هذه السياسات سيكون أكثر صعوبة. فقد كانت العمليات القدممة 


££ دليل المسئول التنفيذي لحوكمة تقنية المعلومات 
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للمراجعة والموافقة اليدوية لازمة التطبيق لإجبار الجميع على قراءة القوانين الجديدة 
والالتزام بها. لكن سرعان ما أصبحت هذه المراجعات مأزقا مما شجع الناس على الالتفاف 
حول هذه السياسات مما أذى إلى إبطال المهمة الرئيسية لحوكمة 504. 


في حين أن هذا الأمر ينطبق على جميع السياسات الخاصة بتقنية المعلومات: إلا أن 
الممارسات القوية والفعالة لإدارة سياسة 504 تعد هنا وبشكل خاص من الأمور المهمة. 
وعلى الرغم من المسؤوليات الحقيقية الملقاة على عاتق إدارة تقنيه المعلومات» فإنه يجب 
التعبير عن سياسات 504 الخاصة با مؤسسة بصيغ واضحة ممكن تعريفها وتغييرها وإزالتها 
بسهولة حسب الحاجة. هذا بالإضافة إلى أنه يجب أن تكون العمليات مفعلة لتقوم بإنفاذ 
تلك السياسات الخاصة ببيئة 504 بصورة فعالة كما هو مطبق طوال دورة حياة ,50. 
لذا يجب أن يتلقى المشاركون تغذية راجعة فورية من خلال إدارة السياسات التي تعتبر 
من العناصر الحاسمة في عمليات حوكمة 508. 

تعمل الإدارة الفعالة لسباسات 504 على إزالة العقبات والاعتراضات على حوكمة 
04 وذلك من خلال توفير دليل واضح يتعلق ما هو متوقع أن يكون متوافقا مع المخطط 
الموضوع والمتفق عليه لبيئة 504. لذا نجد أن حلول إدارة السياسات تسهم في تحسين 
امساءلة وضمان نتائج متناغمة. 


البنية الموجهة نحو الخدمة وحوكمة تقنية المعلومات: 

لقد تحدثنا عن العديد من جوانب حوكمة تقنية المعلومات المتعلقة ببيئة 508.: 
ولكن للأسف ١م‏ نتحدث إلا عن القليل من السمات والليزات العديدة لبيئة 504. ففي 
ظل مفهوم 508 الساعي إلى فصل عناصر الوظائف البرمجية إلى مكونات مستقلة يمكن 
تبادلها كما مكن ربطها أو إعادة تعريفها بسهولة: فإننا سنرى وظائف أكثر وأكثر مرتبطة 
بمفهوم 504 في عاطنا المتقدم المعتمد على شبكة الإنترنت. على سبيل المثال» معظم بائعي 
برمجيات قواعد البيانات هذه الأيام كشركة أوراكل 1ء0 قاموا بتطبيق مبادئ 5084 في 
هياكل قواعد بيانات الخاصة بتخطيط موارد المؤسسة الصادرة عنهم» كما أننا سنرى مزيداً 
من التركيز على 5084 فى منتجاتها خلال السنوات القادمة. 


دلبل المسئول التنفيذي لحوكمة تقنية ا لمعلومات E0‏ 


الفصل الثالث عشر 


نكاد نجزم بأن المؤسسة التقليدية التي تستخدم مجموعة كاملة من أدوات 504 هذه 
الأيام لن تبدأ في البداية العمل وفقا للنموذج الكامل لتطبيق 504. وإنما قامت العديد 
من الشركات حتى اليوم بتحويل واحد أو أكثر من تطبيقاتها الرئيسية إلى نموذج خدمات 
الويبء وهو نهج مشابه للفهوم 504. وقد تم توضيح تلك العملية الخاصة بتطبيق 
خدمات الويب والخاصة بتحويل أحد التطبيقات الحالية إلى بيئة قائمة أو معتمدة على 
شبكة الإنترنت في الشكل التوضيحي (0-17). كما يمكن العثور على مثال من هذا النوع 
من التطبيقات في واحد من الحلول البرمجية الخاصة بإدارة علاقات العملاء والمقدم من 
خلال شركة سيلز فورس. كوم ('18361.5216510162.©012/601228727) «SalesForce.com‏ 
وهي مقدم برمجيات ناجح جدا لا يبيع منتجاته البرمجية من خلال الأقراص المدمجة التي 
تحتوي على البرمجيات المطلوبة والمجلدات التي تحتوى على الوثائق» وإنما كل ما تقدمه 
شركة سيلز فورس.كوم 5216510166.62012 يكون فی شكل ويب. 

بذلا من التطبيقات الفردرة. وان اة فان تطبيقات خدهات الويب تكون اة 
حيث تتصل مكونات التطبيق بعضها مع بعض عبر شبكة الإنترنت» وتتصل أيضاً مكونات 
التطبيق مع مكونات تطبيقات أخرى باستخدام برتوكولات الاتصالات المفتوحة. فهي 
عبارة عن مكونات قائمة بذاتها وتصف نفسها ويمكن استخدامها من قبل تطبيقات أخرى. 
وبات شبه مؤكد أن المديرين سيواجهون أعدادا متزايدة من تطبيقات خدمات الويب 
في المستقبل» حيث سيتم وضع العديد من الموارد المختلفة فيما نطلق عليه "سحابة" 
تقنيه المعلومات 4٠٥1ع‏ 11: وهي مثابه توصيلات تخزينيه للعديد من الملفات ومصادر 
البيانات وغيرها من المواد. ويمكن للمرء أن يتطرق بفكره إلى محرك البحث جوجلء عندما 
ننظر في هذا المفهوم السحابيء. حيث يستطيع المستخدم الحصول على واحد من العديد 
من نماذج البحث الناتجة بغض النظر عن مجال موضوع البحث ال مطلوب. وقد تكون 
تطبيقات خدمات الويب مرتبطة بسحابة الإنترنت تلك فضلا عن موارد التخزين الخاصة 
بها مع الوصلات القائمة مع النظم المحلية. سواء كانت شبكات محلية أم لاسلكية. وقد تم 
الحديث في الفصل التاسع من هذا الكتاب عن المفهوم الشامل للحوسبة السحابية عندما 
تم تطبيقها على حوكمة تقنية المعلومات. 


أهمية البنية الموجهة نحو خدمات تقنية المعلومات لنظم حوكمة تقنية المعلومات 


شكل توضيحي (0-17) 


نموذج تطبيقات خدمات الويب 
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دليل المسئول التنفيذي لحوكمة تقنية ابمعلومات EV‏ 


الفصل الثالث عشر 


قد تتكون بيئة 504 في المؤسسة هذه الأيام إما من بيئة نظم كاملة مطبقة بشكل كبير 
أو مشروع تطوير لتحويل بعض التطبيقات القائمة حالياً أو الجديدة إلى 504. وكلاهما 
يواجه بعض المخاوف الرئيسية الخاصة بضوابط الحوكمة. وسيحتاج كبار اللفيريق الذين 
لديهم إلمام بالضوابط العامة لتقنية المعلومات التي تة تتبع نهجا ليها يكل كبير لنظم 
تقنية المعلومات:ء إلى إعادة التفكير بتلك الأساليب المستخدمة ف المراجعة. ووفقا يلثالنا 
السابق حول قطع لعبة الليغوء فإننا بحاجة إلى مراجعة الضوابط وإجراءات الحوكمة 
اللعدلقة نة انت اف فة متكا لك الق وان رالات اة 
بكل مكون على حدة وكذلك الروابط فيما بينهم. 

رما تكون القضية الرئيسية لحوكمة تقنية ا معلومات قي بيثة 504 هي الحاجة إلى 
مخطط 504 شامل يغطي جميع عناصر الخدمات المتفق والموافق عليها من قبل الأطراف 
المشاركة. إن تلك الاعتبارات الخاصة بوحدات الخدمة تذهب غالبا إلى ما هو أبعد من 
مجرد قسم تشغيل بل إلى ما هو أبعد من المؤسسة بأكملها فقد تصل إلى مزودي أو موردي 
خدمات اخرين. لذا فإن هناك حاجة إلى نظام قوي للصلاحيات وإلى ضوابط بداخل كل 
عنصر من عناصر الخدمات. وبالعودة مرة أخرى إلى مثالنا الذي يتحدث عن قطع أو 
وحدات لعبة الليغو. فكل وحدة خدمية يجب اعتبارها واحدة من قطع هذه اللعبة التي 
ربما تكون عبارة عن مزيج من عناصر برمجية وموارد بيانات. ويجب على وحدة الأعمال 
أن تجعل العناصر غير المملوكة من قبل أي من هذه القطع (الوحدات الخدمية) متاحة 
للوحدات الأخرى من خلال عمليات إفصاح وصلاحيات واضحة. كما يجب اعتماد وظيفة 
مهندس 504 بدرجة ما للقيام بمراجعة تلك العناصر الخدمية ووضع القواعد والإجراءات 
الداعمة. 

تعد الإجراءات القوية المتعلقة بأفضل الممارسات الخاصة بالبنية التحتيةء والتي تحدثنا 
عنها في الفصل السابع من هذا الكتاب على أنها جزء من معايير الأيزوء من الأمور الأساسية 
في بيتئة 504. فلا تتم عملية إطلاق ا منصات الخاصة ببيئة 504 عن طريق تطبيق كل 
شيء بأسلوت تطبيق الكل مرة واحدة. بل» سيتم إضافة أو تعديل أو حذف الخدمات 
والعمليات بشكل اعتيادي وعلى أساس مستمر. التحدي هنا أكثر تعقيدا بكثير من ضوابط 


E۳۸‏ دليل المسئول التنفيذي لحوكمة تقنية المعلومات 


أهمية البنية الموجهة نحو خدمات تقنية المعلومات لنظم حوكمة تقنية المعلومات 


خاصة بمكتبة برامج مستقلة؛ بل ستكون ا.لخاوف متعلقة بعنصر برمجي واحد في التطبيق. 
لذا ففي ظل بيئة 504: فإن التغيرات التي تطرأ على الوحدة الخدمية التي يمكن أن تكون 
جزءا من العديد من العمليات الأخرى التي رها لا يستطيع صاحب أو مقدم الخدمة أن 
يفهم تماما من هو الشخض الآخر الذي يس تخدم هذه الوحدة الخدمية. وعلى ذلك فقد 
يكون لمشكلة التحكم بخدمة واحدة آثار على العديد من الآخرين. لذا فإن هناك حاجة 
إلى ضوابط قوية في الفحص والجودة. 

إن العديد من الإجراءات العامة لحوكمة تقنية المعلومات التي تم الحديث عنها في 
فصول أخرى من هذا الكتاب يمكن تطبيقها أيضا في بيئة 504. على سبيل المثالء الضوابط 
الداخلية لإطار العمل ©0050 التي تمت مناقشتها في الفصل الرابع وضوابط حوكمة تقنية 
المعلومات الخاصة بإدارة أمن وسرية المعلومات التي تمت مناقشتها في الفصل العاشر من 
هذا الكتاب ملائمين تماما في بيئة 504. وعلى الرغم من أن هذه الضوابط الأخرى ملائمة 
لبيئات مختلفة» فإن الشكل التوضيحي (1-17) يوجز الضوابط الخاصة بحوكمة تقنية 
المعلومات في بيئة 504. إن هذه الخطوات الإجرائية تتحدث عن بيئة لم تصل المؤسسة 
فيها بعد إلى درجة التناغم مع بيئة 504 بنسبة “٠٠١‏ ولكنها تتحرك باتجاه بيئة 504 
من خلال مشروع تطبيقي مستمر وفقا لمخطط متفق عليه. 

لقد ناقش هذا الفصل بيئة 504 كما لو كانت مجموعة خاصة من عمليات حوكمة 
تقنية المعلومات. ومع ذلكء فإننا عندما نقوم بتحريك نظم وعمليات تقنية المعلومات أكثر 
وأكثر باتجاه بيئة خدمات شبكة الويب» حيث ستصبح عمليات 504 هي المعيار وليست 
الاستثناء. لذا فالمديرون بحاجة إلى التفكير بنظم وعمليات تقنية المعلومات الخاصة بهم 
وفقا لنموذج بيئة 504. 


دليل المسئول التنفيذي لحوكمة تقنية ا معلومات e۳۹‏ 


الفصل الثالث عشر 


شكل توضيحي )1-١5(‏ 
الضوابط الخاصة بحوكمة تقنية المعلومات في بيئة 5018 
.١‏ هل قامت المؤسسة بتطوير إستراتيجية شاملة لبيئة 504 تخص تقنية ال معلومات وعمليات 
التشغيل الخاصة بأعمالهاء والموافقة عليها؟ 
أ. إذا كانت هناك إستراتيجية معتمدةء هل تم تنفيذها بالكامل؟ أو ما مدى اكتمالها في الوقت 
الحالي؟ 
ب. إذا م يكن هناك خطة إستراتيجية رسمية لبيئة 504 فما الخطط ال مستقبلية لتنفيذ هذا الأمر؟ 
ج. هل توجد برامج تعليمية تم تقديمها لتوضيح فوائد بيئنة 504 العائدة على كل من الأعمال 


؟. هل تم تعيين المدير المسؤول عن قيادة وتنسيق الأعمال والجهود المبذولة في بيتة 508 في 
اللؤسبة؟ 


۳. هل حصلت المؤسسة على أي من برمجيات 504 أو قامت بتقييمها؟ 


أ. هل تم وضع معايير تقييم رسمية لاختيار البرمجية المناسبة؟ 


ب. بالنسبة لأي برمجية معمول بهاء هل كان هناك برنامج فحص وتقييم رسمي لتحليل اطنتج 
البرمجي فيما يخص التطبيق الكامل؟ 


.٤‏ هل تم تحديد تطبيقات "الأعمال الحساسة" على أنها جزء من إستراتيجية .50؟ 


أ. بالنسبة للتطبيقات الحساسة التي لا زالت غير قائمة على خدمات شبكة الويب» هل يوجد هناك 
مخططات موضوعة موضع التنفيذ لتحويلها إلى بيئة 5024؟ 


ب. هل تم تعريف وتوثيق طبقة عمليات الأعمال الحساسة بشكل رسمي لتطبيقات بيئة 504؟ 


ج. هل هناك دليل على أن طبقة خدمات التطبيقات تركز على تكامل التشغيل الداخلي» ومعتمدة 
على قاعدة البيانات» وايلكونات» والبنية التحتة؟ 


0. هل تم تكوين فريق رسمي لإدارة أو قيادة خدمات 50#4؟ 


أ.. هل تمت مراجعة الأهداف والمخاطر الخاصة بمدير الخدمة مع الإدارة؟ 





ب. هل تم شرح ومناقشة خطط المؤسسة الخاصة ببيئة 504 مع الأعضاء الرئيسيين في فريق الإدارة؟ 


ع دلبل الول التنشيذي لحوكمة تقنة المعلومات 


أهمية البنية الموجهة نحو خدمات تقنية المعلومات لنظم حوكمة تقنية المعلومات 


ا مل هناك دليل عل أن غطط 564 متكاطلة ماما مع خطط استمرارية الأعمال في المؤسسة؟ 


۷. نظرا لأن المؤسسة تتجه نحو بيئة 504: فهل تمت عملية التحويل الأوّلي للتطبيقات من وضعها 

التقليدي إلى بيئة 504 على أساس الفحص؟ 
حاليا؟ 

ب. هل يشتمل أي جزء من عملية تحويل تطبيق ما إلى بيئة 504 على فحص للسمات الخاصة 
مكونات "التوصيل والتشغيل" '(1813 300 ناا والتي تعد من الفوائد المفترضة للعمليات 
التشغيلية لبيئة 504؟ 

ج. هل هناك دليل على أن التكاليف والفوائد الناجمة عن أي عملية تحويل لبيئة 5014 قد تم 
تقييمها رسميا؟ 

۸ بناء على الفحوصات والتقييمات» هل جميع التطبيقات اللحولة لبيئة 504 متسقة مع المتطليات 

الأمنية الخاصة بتطبيقات ونظم تقنية المعلومات اللؤسسية؟ 

4. على أساس الاختبارات» هل تم وضع إجراءات واستيعابها من قبل كل من تقنية المعلومات 

والمديرين ال مسؤولين عن التطبيقات المحولة إلى بيئة 5074؟ 

.٠‏ هل تم تحديد وتقييم للتكاليف والفوائد الناجمة عن أي تحويل لبيئة 504 قبل عمل أي 

تحويلات مخطط لها على نطاق واسع؟ 





دليل المسئول التنفيذي لحوكمة تقنية ا معلومات £٤١‏ 


الفصل الثالث عشر 


ملاحظات: 

.١‏ ليجو 1.860 اسم علامة تجارية لعدد كبير من عناصر البناء وآي شكل من أشكال 
الألعاب في أشكال وألوان مختلفة. والتي يمكن توصيلها معا لخلق هياكل مختلفة للألعاب. 
ومن ثم تفكيكها بسهولة لخلق شيء آخر. هذا المنتج من ألعاب الأطفال متاح في جميع 
أنحاء العالم. فهو نموذج جيد للبناء من خلال تركيب المكونات. مزيد من المعلومات يمكن 
العثور عليها في الموقع <<زمء.107971:1:18060. 

۲. إطار عمل نت. (2161) أو دوت نت عبارة عن نموذج برمجة شامل ومترابط لبناء 
التطبيقات. 01172/1161ه.]111616.1111610501. 


۳. بيا 8154 هو أحد وحدات شركة أوراكل. يمكن العثور على معلومات عن تطبيق 
الويب لوجيك عذع0,آ1ط11 الخاص به في موقع www.oracle.com/bea/index.html‏ 


الفصل الرابع عشر 
إدارة تهيئة ومحفظة تقنية المعلومات 


إن أي نظام تقنية معلومات مثبت» سواء كان جهاز حاسب لوحي أم عابنا آلا محمولا 
خاضاءاحة ادى تن أو فاا غانها اع ممكتب مبيعات أحد الفروع أو مركز بيانات 
انمتا لإحدى الشركات؛ سيكون به العديد من المكونات التي تشمل محافظ البرامج 
التطبيقية والملفات وقواعد البيانات ونظم التشغيل وأجهزة الاتصال ووثائق الدعم الخاصة 
بهذه الإجراءات. وينبغي أن تكون كل هذه المكونات مترابطة بين جميع الأنظمة وعبر 
المؤسسة بأكملها لي تكون قادرة على الاتصال والعمل بعضها مع بعض. ويطلق على هذا 
التجميع الكامل طمكونات تقنية المعلومات اسم تهيئة تقنية المعلومات IT Configuration‏ 
في المؤسسة. وكأحد العناصر الهامة في حوكمة تقنية المعلومات» فإنه ينبغي أن يكون هناك 
عمليات معمول بها لإدارة التوافق بين مكونات هذه التهيئة لتقنية المعلومات وحالتها 
كالتأكد من قدرة هذه المكونات على التحدث والتواصل معا. لذا ينبغي على المؤسسة 
أن تمتلك نظاماً فعالاً لإدارة تهيئة تقنية المعلومات: وذلك لدعم عمليات تقنية المعلومات 
الرئيسية لديها. 


يتعرض مديرو الأعمال غالباً إلى مسائل تتعلق بتهيئة تقنية المعلومات عندما يتلقون 
بلاغاً أو رسالة خطأ من إحدى إدارات المؤّسسة التابعين لها ويكتشفوا أنه ليس بإمكانهم 
قراءة الملف الذي تم إرساله. وتكون أول ردة فعل للمدير الاتصال بفريق الدعم الفني 
التابع لإدارة تقنية المعلومات التابعة له أو لهاء وق الغالب يتم تتبع تتبع المشكلة لنكتشف أن 
الوحدة التي قامت بإرسال البيانات التي لا مكن قراءتها قد قامت اهو أحد الإصدارات 
الخاطئة للبرمجية أو حتى أنها قد استخدمت برمجية غير صحيحة بال مجمل. وف الغالب 
يكون سبب مشكلة تلك البرمجية الخاطئة أو غير القابلة للقراءة هو الإخفاق في تحديث أحد 
عناصر البرمجية في مكان ما في شبكة تقنية المعلومات الخاصة بالشركة. فقد يكون التقرير 
أو العملية جيداً في الموقع الذي يتم تشغيلها فيه حالياء ولكنها غير متوافقة مع نظم وأجهزة 
أخرى. ويعد هذا أحد الأمثلة على المشاكل المتعلقة بتهيئة تقنية ا ملعلومات!. 
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الفصل الرابع عشر 


هناك حاجة للمحافظة على إعدادات ثابتة ومتوافقة بين الموارد الخاصة بتقنية 
المعلومات: سواء كانت ملفات بيانات وبرامج محملة على جهاز حاسب شخصي محمول 
أو على موارد موجودة في مكان ما في شبكة تقنية المعلومات الخاصة بالشركة. إذا حدث 
تغيير أو تعديل على أحد المكونات يكؤن هناك غالبا حاجة لانعكاس ذلك على جب 
اللكوفات الأشرئ المترائظة معف: وتف الإذارة الخاصة مامات فلك العتاصر الحديدة 
لتقنية المعلومات وإصداراتها باسم إدارة تهيئة تقنية المعلومات IT configuration‏ 
13861361 . وينظر إلى هذا المجال غالبا على أنه مجرد رقابة فنية فقط على تقنية 
المعلومات. في حين أنه يجب أن ينظر للإدارة الفعالة لتهيئة تقنية المعلومات على أنها أحد 
المكونات الهامة والضرورية لحوكمة تقنية المعلومات. 

يناقش هذا الفصل أهمية عمليات إدارة تهيئة تقنية المعلومات في كل المؤسسات ويوجز 
الأدوات الرئيسية لحوكمة تقنية المعلومات اللازمة لإيجاد نظام فعال لإدارة التهيئة الخاصة 
بالمؤسسة Configuration Management System (CMS)‏ مع التركيز على إنشاء ما 
يسمى قاعدة يانات إدارة التهيثه (01/1101) .Conflguration Management Database‏ 
وقد تم تسليط الضوء على بعض عناصر عمليات إدارة تقنية المعلومات في الفصل السادس 
من هذا الكتاب الذي كان يدور حول أفضل الممارسات الخاصة بآيتل وإدارة خدمات تقنية 
المعلومات: إلا أن هذا الفصل يؤكد مرة أخرى أهمية إدارة تهيئة تقنية المعلومات بوصفها 
أحد الضوابط الهامة لحوكمة تقنية المعلومات. 

كما سيقدم ويناقش هذا الفصل أيضا إدارة محفظة تقنية المعلومات على أنه أحد 
المفاهيم الهامة في حوكمة تقنية المعلومات. وكما هو الحال بالنسبة للعديد من الأفراد 
الذين ستثمرون ٤‏ أحد صناديق الاستثمار التعاونية أو ٤‏ أحد صناديق التداولات التجارية 
للبورصة الذي يحتوي على محفظة أوراق الاستثمار المالية ذات العلاقةء فهناك مزايا قوية 
لحوقيزة تقب ة وات ف اة وا حققية وات ولك اوا ال می غات 
أو محافظ التطبيقات والبنية التحتية والمشاريع وموارد تقنية المعلومات ذات الصلة. 
وسوف نصف هنا كيف هكن لنهج إدارة محفظة تقنية المعلومات الخاصة باستثمارات 
تقنية المعلومات أن يؤدي إلى العديد من الفوائد لصالح إدارة تقنية المعلومات والمؤسسة 
بكاملها. وتعتبر إدارة محفظة تقنية المعلومات واحدة من الطرق الفعالة لإدارة استثمارات 
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تقنبة ال معلومات والتي يمكن أن توفر رقابة مركزية على ميزانيات تقنة المعلومات وقضادا 
8 شان تقنية E‏ والتوافق ا 00 تقنية e‏ فإدارة 


مغاهيم إدارة تهيئة تقنية المعلومات: 

يوجد العديد من المعدات والبرمجيات ومكونات البنى التحتية الخاصة بتقنية المعلومات 
في أي نظام من أنظمة تقنية تقنية ا معلومات المؤسسية. وهي تمتد من خادم قواعد بيانات مع 
مجموعة من الأجهزة الطرفية المتصلة به والتي تستطيع أن تخدم وحدة أعمال صغيرة 
وصولاً إلى مجموعة كبيرة من عمليات تشغيل تقنية المعلومات على مستوى الشركة والتي 
تخدم مرافق مختلفة في جميع أنحاء العام. بعض هذه المكونات تكون مترابطة فيما بينهاء 
ف حين أن البعض الآغر مكنون قائما بذاته قت عن باقي المكونات. إن تهيئة تقنية 
امعلومات في المؤسسة تعد أكثر من مجرد قائمة من المكونات اليرمجية والأجهزة وا لملعدات 
المثبنتة. بل يجب على السجلات الخاصة بالتهيئة أن تحتفظ بأمور مثل روابط الواجهة 
والتعريفات الخاصة بإصدار المكون والخصائص الثبتة وجميع الأمور الأخرى التي تصف 
تلك العناصر والبنود الخاصة بتهيئة تقنية ال معلومات في الحالات التي تم تثبيتها فيها. 

لقد تطرقنا سابقاً إلى مفاهيم إدارة تهيئة تقنية المعلومات في الفضل الساذس من 
هذا الكتاب والذي يدور حول إطار العمل ايتل وال مفاهيم الخاصة بإدارة خدمات تقنية 
ا معلومات. كانت إدارة تهيئة تقنية اللعلومات هناك عبارة عن عنصر واحد فقط من بين 
سلسلة من الممارسات الجيدة للإطار آيتل. في حين أن هذا الفصل ينظر بعمق أكبر بقليل 
إلى أدوات وعمليات إدارة تهيئة تقنية المعلومات. وسيوضح هذا الفصل طاذا تعد إدارة 
تهرئة تقنية المعلومات أحد المكونات الهامة للعمليات الرشيدة لحوكمة تقنية المعلومات. 

يضق ارخ مق م ا ھر و أو طق عليه لنظام إثالية 0 
المذلوفات عى إن الث عن طريق شبكة الأثترنت موف يعطي أيضا العديد من 
التعريفات المختلفة» فإن المنظمة التقنية لوضع المعايير والتي مقرها الولايات ا متحدةء وهي 
21 تعد من المصادر الجيدة للحصول على مثل هذا التعريف. وقد كانت هذه المنظمة 
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تحرف ا باسم جمعية مهندسي الكهرباء والإلكترونيات Institute for Electrical and‏ 
.Electronic Engineering‏ و بشاز إليها حاليا باستخدام الأحرف الأولى من اسمها حيث 
أصبح الاسم الدارج لها هو 18188 " آي تريبل إي". حتى الموقع الخاص بهذه المنظمة 
92١١١8‏ يشير إلى الاسم الأصلي الكامل لها. وتعَرّف منظمة 15٤۴‏ إدارة تهيئة 
تقنية ال معلومات على أنها إحدى العمليات الخاصة بالمؤسسة أو بإدارة تقنية المعلومات: 
حيث تحتوى هذه العملية على العناصر التالية: 


٠‏ التعريف: م ع ا E‏ تقنية ا معلومات على مخطط تعريفي قوي يعكس 
بنية جميع موارد تقنية ال معلومات» ويحدد مكوناتها وتاريخ التعديل وأنواع هذه الموارد. 
الأمر الذي يجعل هذه الموارد مميزة ويمكن الوصول إليها بشكل أو بآخر. 

٠‏ التحكم: يتعين على نظام إدارة تهيئة تقنية المعلومات التحكم في الإصدارات الخاصة 
بجميع المنتجات والتغيرات التي تحدث على الموارد الخاصة بالتهيئة طوال دورة حياتها 
من خلال وجود ضوابط معمول بها تضمن تناغم الموارد الخاصة مكونات تقنية ا معلومات 
من خلال وضع ما يعرف منتجات الخط ال مرجعي products‏ 6ذاء525. 

٠‏ تدوين الحالة: يجب على نظام إدارة تهيئة تقنية المعلومات أن يسجل ويبلغ عن حالة 
كل مكون من مكونات بنية تقنية المعلومات وطلبات التغيير» وذلك أثناء جمع المعلومات 
الإحصائية الحيوية المتعلقة بتلك المكونات الموجودة في منتجات التهيئة. 

٠‏ التدقيق والمراجعة: ينبغي أن تكون هناك عمليات مراجعة معمول بها تقوم بها إدارة 
تهيئة تقنية المعلومات للتحقق من سلامة اكتمال جميع بنود تهيئة تقنية المعلومات 
والحفاظ على التوافق فيما بين المكونات المترابطة بداخل التهيئة من خلال ضمان أن هذه 
المنتجات هي عبارة عن مجموعة من ال مكونات المعرفة على نحو جيد. 

سوف تناقش الفقرات التالية تلك العناصر الخاصة بإدارة تهيئة تقنية ا لمعلومات ونظام 

إدارة التهيئثه C۸153‏ بمزيد من التفصيل. فللوصول إلى إدارة فعاله لتهيئة تقنيه ا معلومات» 

فإنه يتعبن على المؤسسة وإدارة تقنية المعلومات التابعة لها )١(‏ امتلاك عمليات معمول 

بها لتحديد جميع المكونات الخاصة بالأجهزة والبرمجيات والبنية التحتية» والتي تعد جزءا 
من موارد تقنة المعلومات لديها. )١(‏ امتلاك ضوابط معمول بها للمتابعة كل التغيرات 
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والتنقيحات التي تتم على هذه المكونات الخاصة بتهيئة تقنية المعلومات. (") الإبقاء على 
نظام تبليغ خاص بإدارة التهيئة بحيث يكون كل من إدارة تقنية المعلومات والإدارة العامة 
والموارد المالية على دراية بالوضع الراهن للوارد تقنية المعلومات الخاصة بالمؤسسة. )٤(‏ 
متابعة وإدارة حالة تلك الموارد الخاصة بتقنية المعلومات للتأكد من أنها قائمة. وفعالة من 


إن الإدارة الفعالة لتهيئة تقنية المعلومات هي أكثر بكثير من مجرد التحكم بإصدارات 
البرامج الخاصة بتقنية المعلومات من خلال قاعدة بيانات واحدة وشاملة لإدارة التهيئة 

28, بل قد تشمل أيضا موارد أخرى ذات صلة موجودة في أحد المرافق كإدارة تقنية 

المعلومات الموجودة في المقر الرئيسي ويك كما يجب أن تشمل عمليات إدارة تهيئة 

فة اللعلوعات كافل اللكؤسسة متضمنا ذلك آي مرفق قد تكون هناك حاجة للاتصال به 

أو مشاركة البيانات والمعلومات معه. 

لقد تحدثنا عن الممارسات الخاصة بإدارة تهيئة تقنية المعلومات التي تعد جزءاً من 
الإطار آيتل والذي سبق الحديث عنه في الفصل السادس من هذا الكتاب. ولأن أفضل 
الممارسات الخاصة بالإطار آيتل تغطي مجموعة كبيرة من المجالات» يجب إعطاء المزيد من 
الاهتمام بإرشاداتها المتعلقة بإدارة تهيئة تقنية المعلومات. تقدم الأجزاء القادمة من هذا 

الفصل المزيد من الإرشادات فيما يتعلق ببناء العمليات الخاصة بتهيئة تقنية المعلومات. 

يصف الشكل التوضيحي )١1-١5(‏ هذا المفهوم الخاص بإدارة التهيئة 02/15 كما يصف 

الحاجة إلى ضوابط خاصة بتهيئة تقنية المعلومات. يعرض الرسم البياني مستخدمي نظم 
الأعمال المؤسسية في الإطار الدائري الخارجي له. حيث إن جميعهم بحاجة إلى إيجاد 
علاقات وروابط فيما بينهم من خلال موارد النظم الخاصة بهم. ويهتم هؤلاء المستخدمون 

للنظم بالقضايا الآتية والمتعلقة بتهيئة تقنية المعلومات: 

٠‏ ضوابط أصول تقنية المعلومات: قد تعمد المجموعات المختلفة للمستخدمين وإدارات 
تقنية المعلومات إلى شراء وتثبيت إصدارات مختلفة بعض الشيء من البرمجيات والأدوات. 
وفي بعض الأحيان تكون الاختلافات بشكل عام قليلةء فمثلاً قد يكون لدى إحدى 
الوحدات خارج البلاد إصدار مختلف بعض الشيء بسبب اختلافات اللغة. على كل حالء 
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قد تختلف الطريقة التي ققدم فيها البرمجية الأوامر وتتفاعل من خلالها مع إصدارات 
اللغات الأخرى. وقد تثير الكيفية التي تقوم من خلالها المؤسسة ووحدات العمليات 
التشغيلية التابعة لها بشراء وتثبيت البرمجيات والأصول الأخرى لتقنية المعلومات بعض 
القضايا المتعلقة بعملية التهيئة. 

٠‏ إدارة الحوادث: إن الهدف الأول لعملية إدارة الحوادث هو استعادة عملية التشغيل 
الطبيعية للخدمة بأقصى سرعة ممكنة وتقليل التأثير على العمليات التشغيلية للأعمال. 
هذا من شأنه أن يضمن الإبقاء على أفضل المستويات الممكنة فيما يتعلق بجودة الخدمة 
وإتاحتها. من ناحية أخرىء قد تغفل النشاطات التصحيحية للحوادث الطارئة عن روابط 
أو اتصالات في التهيئة» مسببة بذلك مشاكل عامة على المدى التشغيلي البعيد. 

٠‏ إدارة مشاكل تقنية المعلومات: يعرف الإطار آيتل المشكلة على أنها حالة يتم تحديدها 
غالبا نتيجة لحوادث متعددة تظهر أعراضا مشتركة. فعتدما يتعرض أكثر من نظام 
أو مجموعة مستخدمين للمشكلة التقنية نفسهاء فإن هناك حاجة للوصول إلى المصدر 
الرئيسي المسبب للمشكلة وتحديد الحل المناسب لها. فقد يصبح هذا أحد المشاكل 
الكبيرة في التهيئة في البيئات الكبيرة والمعقدة لتقنية المعلومات. 

٠‏ القضايا الشاملة لحوكمة تقنية المعلومات: لقد تم تغطية مجموعة واسعة من قضايا 
حوكمة تقنية المعلومات خلال فصول هذا الكتاب» والتي تشمل السياسات الأمنية في 
تقنية المعلومات وقضايا إدارة المشاريع والمقاييس اللمعيارية وغيرها. لذا يجب أن يتم 
تنفيذ وإدارة كل هذه الأمور بشكل متناغم عبر المؤسسة لضمان إدارة متسقة وفعالة 

٠‏ إدارة سعة تقنية المعلومات: تحتاج المؤسسة ال تنيت وؤتنفيذ اللسعويات والأحفال 
الصحيحة وات تقنية المعلومات. لذا فإن معالجة احتياجات وأحجام الخدمات بحاجة 
إلى متابعة وضبط عبر جميع موارد تقنية المعلومات في المؤسسة. 

٠‏ اتفاقيات مستوى الخدمة 51.45: التي تم تقدهها مع قضايا حوكمة تقنية المعلومات 
التي تمت مناقشتها في الفصل السابع عشر من هذا الكتاب. هي عبارة عن اتفاقيات 


a 
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لها والموردين الخارجيين. أبسط صور هذه الاتفاقيات» أن تقوم إدارة تقنية المعلومات 
بوضع اتفاقيه لمستوى الخدمة مع قسم اطراقبه الماليه بحيث يتعهد ال محاسبون بتسليم 
جميع معاملات إغلاق نهاية الشهر الخاصة بدفتر الأستاذ العام وفقا لجدول زمني متفق 
عليه على أن تتعهد إدارة تقنية المعلومات باستكمال وتسليم تقارير الإغلاق الشهرية في 
تاريخ محدد. من ناحية أخرق عندما تحتاج جميع الإدارات ال مختلفة إلى اللستخدمين 
ومرافق تقنية المعلومات لاتفاقيات مستوى خدمة خاصة بهاء قد تكون هناك مشاكل في 
نظام إدارة التهيئة 01/15. 


الفكرة هنا هو أننا يجب أن ننظر إلى إدارة تهيئة تقنية المعلومات على أنها مجموعة 
من المفاهيم التي تكون منفصلة غالبا لكنها مترابطة (انظر الشكل التوضيحي .)1-١6‏ 
ويعد هذا من الأمور الهامة خصوضا هذه الأيام؛ إِذ إثنا قد ابتعدنا كثيراً عن الحاسبات 
المركزية التي كانت موجودة في الماضي وقمنا بتثبيت أشكال وأنواع عديدة من موارد تقنية 
المعلومات ف المؤسسة التقليدية ذات الوحدات والمواقع المتعددة. وبينما يجب على الإدارة 
التقليدية لتقنية المعلومات أن تضع معايير على ما تمتلكه (نظم وعمليات تقنية المعلومات) 
وكذلك على نظم وعمليات تقنية المعلومات الخاصة با مقر الرئيسيء فإننا نجد أن ضوابط 
التهيئة قد تضيع في عام النظم اللاسلكية المتصلة بالنظم السحابية. 


أفضل ممارسات إطار آيتل الخاصة بإدارة تهيئة تقنية المعلومات: 

قدم الفصل السادس من هذا الكتاب المواد الخاصة بمكتبة البنية التحتية لتقنية 
المعلومات 1111 فيما يتعلق بالحوكمة» وقد تم هناك عرض أفضل الممارسات بالشكل 
التوضيحي (85) مضا أعمية إدازة الفبقة على أنيا احدى أذوات حوكية هة 
المعلومات. الفكرة هي أن كل مؤسسة تمتلك أو تحتفظ بعناصر متنوعة من المعلومات 
غ ال ال لخا فق امات لقرياء فخلا عق أن اة واه ةيا 
بالنسبة لعملية الحفاظ على النسخة الأخيرة المحدثة لجميع هذه المعلومات. وقد حددت 
إدارة التهيئة في الإطار آيتل أفضل الممارسات للاحتفاظ بتفاصيل المعلومات الموثوقة 
والحديثة المتعلقة بالبنية التحتية لتقنية المعلومات. 


دليل المسئول التنفيذي لحوكمة تقنية ا معلومات عع 


الفصل الرابع عشر 


شكل توضيحي (1-1€( 


مفاهيم نظام إدارة تهيئة تقنية المعلومات 





مع أن هذا المصطلح لا يعد من المصطلحات الشائعة الاستخدام بالنسبة للعمليات 
التشغيلية الخاصة بتقنية المعلومات هذه الأيام: فإن إطار العمل آيتل يدعو المؤسسة 
والعمليات التشغيلية الخاصة بها إلى تعريف هيكل التهيئة الخاص بها إلى ما يطلق عليه 
الإطار آيتل عناصر التهيئة (15©) 1]6135 ه1ة:ناع8نه2. كما يدعو الإطار آيتل أيضا إلى 
أن نفهم كيف ترتبط عناصر التهيئة 015 هذه بعضها مع بعض. كما يجب على العملية 
الفعالة لإدارة التهيئة في آيتل أن تؤكد أن التغيرات التي حدثت على بنية تقنية المعلومات 
قد تم تسجيلها بشكل صحيح: ها فيها العلاقات بين عناصر التهيئة 015. كما يجب على 
عملية إدارة التهيئة مراقبة حالة مكونات تقنية المعلومات لضمان أنها تملك الوصف الدقيق 
للإصدار الحالي لتلك العناصر 015. 

وفي خطوة أولى لبناء عمليات التهيئة الفعالة لتقنية المعلومات» فإن ا لمؤسسة تحتاج إلى 
القيام بجرد موارد تقنية المعلومات الموجودة لديها. فهذه العملية تحتاج إلى ما هو أكثر من 
مه 20202020202020 ذليل المسئول التنفيذي لحوكمة تقنية المعلومات 


إدارة تهيئة ومحفظة تقنية المعلومات 


مجرد مسح لقوائم المكونات البرمجية ال مثبتة وعمل الجرد المادي بلعدات تقنية المعلومات 
الموجودة على الأرض. يحتوي الشكل التوضيحي )١-١5(‏ على قائمة بأنواع الموارد التي يجب 
أن تصبح من عناصر التهيئة 15© لتحديد بيئة التهيئة: وبمثابة اللبنات الأولى في قاعدة بيانات 
إدارة التهيئة 011108 كما سيتم مناقشته في الأجزاء اللاحقة. وعند تنفيذ الجرد بصورة 
فا ف وجب أن رزو ةا اة ا بن الاقارة وإذارة فة انات امات 
والمجالات لمزيد من التحقيق ف المجالات التالية والخاصة بسياسة منتجات تقنية المعلومات: 
« ما مكونات تقنية المعلومات اللمستخدمة حاليا؟ وكم عدد الإصدارات المختلفة المعمول 
بها لكل مكون؟ وما المدة التى استخدمت فيها هذه المكونات؟ 
٠‏ ما المكونات التي بمكن أن يتم سحبها تدريجيا؟ وما المكونات التي تحتاج إلى تعديل؟ 
٠‏ ما التراخيص المفعلة؟ وهل هي كافية؟ 
ه ما مدى معيارية البنية التحتية الشاملة لتقنية المعلومات عبر المؤسسة؟ 
شكل توضيحي (6١-؟)‏ 
أمثلة على عناصر التهيئة الموجودة في قاعدة بيانات إدارة التهيئة 6111013 


٠‏ جميع منصات الحوسبة المادية وتشمل أجهزة الحاسب المكتبي والحاسب المحمول والخوادم المثبتة 
على حامل 60]ضنامدكاءعة؟ والخوادم النحيفة 565725 81306 وأجهزة أخرى قائمة بذاتها. 


ه جميع أجهزة ومعدات الشبكة متضمنة الطابعات المتصلة بالشبكة. 


Middleware جميع التطبيقات والبرامج الخدمية )انالا الخاصة بالبرمجيات الوسيطة‎ ٠ 
والبرمجيات 50111316 متضمنة المنتجات الخاصة بال مستخده النهايء والإدارة والدعم.‎ 


CF وسي شارب‎ [1۸۷۸A جميع نظم التشغيل امثبتة وكذلك أدوات حزم تطوير الرمجبات مثل جافا‎ ٠ 


وأدوات البرمجيات الإدارية الخاصة بدورة حياة تطوير النظم ©.5101. 
٠‏ تنصيبات الرقع 65داء]23 الخاصة بأنظمة التشغيل وأجهزة الشبكة. 


٠ه‏ شركة الهواتف المحلية )X٭PB( Private Branch Exchange‏ ومعدات وبرمحيات الاتصالات المتعلقة بها. 
٠‏ خدمات الأعمال المثبتة أو عناصر هذه الخدمات. 





ه حزم الوثائق الخاصة بالتطبيقات والنظم وا معايير الخاصة بالسياسات والعمليات. 


دلبل المسئول التنفيذي لحوكمة تقنية المعلومات E01‏ 








الفصل الرابع عشر 


الفكرة هنا هي أن المفاهيم الخاصة بإدارة تهيئة تقنية المعلومات ونظام إدارة التهيئة 0115© 
لا يجب أن تكون مجرد قضايا تابعة لإدارة تقنية المعلومات في المؤسسة. بل يجب تشكيل 
فريق مكون من ال مختصين في التقنية يشمل إدارة تقنية المعلومات وغيرهم من المستخدمين 
الرئيسيين وارد تقنية المعلومات من أجل بناء وتشييد نظام لإدارة التهيئة 01/15 ف المؤسسة. 
لذا يجب إعطاء المزيد من الاهتمام من أجل ضم أعضاء لفريق مشروع نظام إدارة التهيئة 
5 من أشخاص ف المؤسسة لا علاقة لهم بتقنية المعلومات والذين يستخدمون الموارد 
الأخرى عادة للنظم ولديهم اتصالات محدودة مع نظم المؤسسة الأكثر مركزية. كما يجب 
أن يحتوي النظام الفعال لإدارة التهيئة على كل مجموعات المعلومات المشار إليها في الشكل. 


جمع وتحليل متطلبات إدارة التهرئة: 

بينما يدرك العديد من المديرين والعاملين في تقنية المعلومات أهمية امتلاك عمليات 
خاصة بتهيئة فعالة لتقنية المعلومات ومعمول بها في المؤسسة؛ قد تمثل عملية جمع وتحديد 
المتطلبات الضرورية للبدء بإدارة التهيئة على مستوى المؤسسة بشكل دقيق ومحدة: أحد 
التحديات الموجودة. حيث يجب أن تبدأ هذه الممارسة من خلال النظر إلى أدوات التهيئة 
المعمول بهاء وإجراء التعديلات اللازمة عليها حسب الحاجةء ومن ثم بناء علاقات رفيعة 
المستوى لإدارة التهيئة بحيث تحمل توقعات أكثر واقعية والانتقال إلى متطلبات قابلة 
للقياس لعملية تهيئه تقنية ال معلومات. 

إن هذه العملية الخاصة ببناء وإطلاق مكونات إدارة تهيئة تقنية المعلومات وتحديد 
متطلباتها الضرورية يجب أن تبدأ عادة بالتخطيط ومنح التصاريح وإطلاق مشروع رسمي 
لتطوير نظم تقنية المعلومات» وذلك وفقاً لمبادئ حوكمة إدارة المشاريع التي سنتحدث 
عنها في الفصل السادس عشر من هذا الكتاب» فالممارسات القوية لإدارة المشاريع تعد من 
الأدوات المهمة لإطلاق عملية فعالة لإدارة التهيئة. ويجب أن يتضمن مشروع إدارة تهيئة 
تقنية المعلومات العناصر الأربعة التالية: 
-١‏ تحديد عناصر تهيئة تقنية المعلومات: تتطلب هذه الخطوة وضع تعريف شامل لنطاق 

التهبئة وبيان قائمة بعناصر التهيئة كا موضح بالشكل التوضيحي (١٠-١)ء‏ وكذلك وضع 

تعريف شامل لعملية تعقب التغيرات» وذلك لإدارة عناصر التهيئة في بيئة تقنية المعلومات. 


إدارة تهيئة ومحفظة تقنية المعلومات 


"- بناء العلاقات الخاصة بتهيئة تقنية المعلومات: يجب ربط عناصر التهيئة 15) المختلفة 
تلك مع تقنية المعلومات وعمليات الأعمال. 


۴- تحسين عمليات تهيئة تقنية المعلومات: رما يجد فريق المشروع أن هناك العديد من 
عناصر التهيئة 015 مكررة بشكل أساسي بعضها من بعض. ولكن كل عنصر منها موجود 
في نظام أو قاعدة بيانات مختلفة. لذا يجب بذل المزيد من الجهد لتبسيط وتنفيذ 
هذه العمليات. على سبيل المثال. يجب أن يتم حفظ أرقام دفتر الأستاذ العام للنظام 
المحاسبي في مكان واحد فقط. فالاحتفاظ بقائمة في أماكن متعددة من شأنه أن يقود 
فقط إلى أخطاء أو مشاكل أخرى ستأقٍ لاحقا. 

-٤‏ إيجاد عمليات توثيق متسقة لإدارة تهيئة تقنية المعلومات: ويعد هذا الأمر أحد 
المعايير الهامة في الحوكمة والتى كانت جزءا من نقاشنا الدائر حول حوكمة تقنية 
المعلومات في العديد من القصول. 
إن هذه العملية الشاملة لإدارة التهيئة تشبه إلى حد ما أي عملية يجب توظيفها عند 

الحاجة لتنظيم مجموعة كبيرة من عناصر المعلومات المختلفة والمترابطة في الوقت نفسه. 

مع الحاجة إلى أن نكون قادرين على أن نشير إلى تلك العناصر بانتظام وأن نطبق التغيرات 

عليها حسب الطلب. ففي حين أن السجلات الشخصية: مثل السجلات الخاصة بإيصالات 
الضريبة على دخول الأفراد أو سجلات المنتجات وقطع الغيار الخاصة بتجار التجزئة يتم 
تنظيمها عادة ولو على الأقل بصورة غير رسمية شكل من أشكال التهيئة: نجد أن العديد من 
إدارات تقنية المعلومات تفتقر إلى وجود هذه الأنواع من التطبيقات. فهم يقومون بتثبيت 
نظم وبرمجيات جديدة, ويعتمدون غالبا على الباعة لتزويدهم بمستوى بسيط من التحكم 

بالتعديل أو التغيير ولكنهم لا يملكون عمليات معمول بها لإدارة تهيئة تقنية المعلومات. 
يتعين على إدارة تقنية المعلومات ف المؤسسة اتخاذ الخطوات اللازمة لتطبيق إدارة 

التهيئة على أنها مكون أساسي لجميع العمليات التشغيلية لتقنية المعلومات. فمثل هذا 

العمل قد يجبر تقنية المعلومات على التراجع عن بعض المشاريع العادية الأخرى: غير أن 
العملية الفعالة ستعود بالفوائد على كل من تقنية ا معلومات ومستخدمي خدمات تقنية 

المعلومات. 


دلبل المسئول التنفيذي لحوكمة تقنية المعلومات tor‏ 


الفصل الرابع عشر 


خطوات تطبيق إدارة تهيئة تقنية المعلومات: 

ينبغي على إدارة تقنية المعلومات أن تقوم بوضع معايير بشأن إصدارات البرمجيات 
والمعدات الخاصة بها. فالتحكم بالإصدار يكون كممارسة تهدف إلى نشر إصدارات 
برمجيات متوافقة على الأجهزة المتشابهة داخل الشبكة. حيث سيسهم ذلك في تحسين 
فرصة التحقق من صلاحية إصدارات البرمجيات المختارة واختبارها وسيحد بشكل كبير 
من حجم العيوب في البرمجيات ومشكلات التوافق الموجودة على الشبكة. إن الإصدارات 
المحدودة للبرمجيات من شأنها أيضاً أن تقلل من مخاطر السلوك غير ا متوقع» وذلك من 
خلال واجهات المستخدم, والأوامر أو مخرجات الإدارةء وأسلوب الترقية وسلوك الخصائص. 
هذا يجعل من البيئة أقل تعقيدا ويجعل عملية تقديم الدعم لها أكثر سهولة. بشكل 
عام» فإن ضبط إصدار البرمجيات يحسن من إتاحة الشبكات ويقلل من تكاليف الدعم 
التفاعلي. 

إن الحديث عن التحكم بإصدارات مكونات تقنية المعلومات أسهل من القيام به 
فعلا. لذا يتعين على العمليات التشغيلية لتقنية المعلومات في المؤسسة وفرق البرمجيات 
المسؤولة عنها أن تقوم بتعريف وتحديد تصنيفات للأجهزة اعتماذا على أنواعها ومدى 
ثباتها ومتطلبات إصدار مزايا جديدة. في ا لمؤسسات الكبيرة المتعددة الإدارات» لا بد من 
تثبيت إصدارات برمجيات منفصلة على الأجهزة المتشابهة. هنا في الغالب يمكن التغاضي 
عن المعايير. فقد يكون القسم الغربي لمؤسسة ما على سبيل المثال قد نسي أن يثبت بعض 
التعديلات الطفيفة على النظم في حين قام القسم الشرقي من المؤسسة بتثبيتها. فعلى 
الرغم من أن النتائج قد تبدو متشابهة: فإن المسائل يمكن أن تُنسى إلى أن تتسبب إحدى 
قضايا النظم بمشاكل مستقبلا. 

ولإيجاد ضوابط فعالة لإدارة تهيئة تقنية المعلومات» فإنه ينبغي على أخصائيي 
البرمجيات أن يقوموا باختبار إصدارات البرمجيات والتحقق من صلاحياتها وتجربتها. 
وتتضمن الخظوات التالية عملية توثيق الإضدارات الناجحة كمعاير موحدة لتصنيفات 
الأجهزة المتشابهة. الفكرة هنا هي نشر وترقية جميع الأجهزة المتشابهة بشكل متناغم 
باستخدام إصدار معياري موحد من البرمجيات. 


إدارة تهيئة ومحفظة تقنية المعلومات 


يعد نظام إدارة تهيئة تقنية المعلومات أحد العناصر الأساسية في الحوكمة الفعالة لتقنية 
المعلومات. ففي الواقع لن نتمكن من إدارة جميع موارد تقنية المعلومات الخاصة بنا 
والتحكم فيها حتى ندرك كيف تتأقلم وتتناسب هذه الموارد معا. إن العنصر الرئيسي في 
كل هذا هو الحاجة إلى إيجاد معايير وإجراءات في جميع أنحاء المؤسسة كأن يكون لدى 
إدارة تقية المعلومات ف المؤسسة فهم وإدراك جيد لجميع موارد تقنية المعلومات المثبتة 
فيها وآنه يجب أن تكون هذه الموارد مرتبطة فيما بينها وأن يتم استخدامها بشكل متناغم 
ومتوافق عبر المؤسسة. إن التطبيق الفعال لكل من إطار العمل آيتل الذي تمت مناقشته 
في الفصل السادس من هذا الكتاب» وبيان الخدمات الذي تم الحديث عنه في الفصل الثاني 
عشر من هذا الكتاب» سوف يسهم في تحقيق الوصول إلى هذه البيئة. من ناحية أخرى, 
فإن أحد العناصر الهامة في عملية التطبيق الفعال لإدارة البنية هو تطبيق قاعدة بيانات 
إدارة التهيئة 081108 التي تعد بمثابة المكون والمستودع المركزي لعمليات إدارة تهيئة 
تقنبة المعلومات. 


قاعدة سانات إدارة التهيئة (6111(1©): يكون غالبا قتا ا 


قاعدة بيانات إدارة التهيئهة هي عبارة عن قاعدة بيانات مفردة تحتوي على كل 
المعلومات المتعلقة بمكونات نظام المعلومات المستخدم في خدمات تقنية المعلومات 
الخاصة بالمؤسسة. بالإضافة إلى العلاقات الموجودة بين هذه ال مكونات. تقدم قاعدة 
سانات إدارة التهينة 011108 5j‏ فوا للبيانات» كما توفر وسائل لفحص هذه 
البيانات من أي منظور نريده. ومن خلال هذا السياق فإن مكونات نظام المعلومات هذا 
والخاص بقاعدة بيانات إدارة التهيئة تحتوي على عناصر تهيئة مترابطة وذات مرجعية 
وموج ي الكل اتوفيسي (7-1). إن عنصر التهيئة 01 قد يكون أي مكون 
مكن تصوره من مكونات تقنية اللعلومات معض مت ] ذلك البرمجيات وال معدات والوثائق 
وا موظفين المسؤولين» بالإضافة إلى أي مجموعة مؤلفة منهم. تسعى عمليات إدارة التهيئة 
إلى تحديد وضبط وتتبع عناصر التهيئة والتغيرات التي تحدث عليها بطريقة شاملة 
ونظامية. 


دلبل المسئول التنفيذي لحوكمة تقنية المعلومات E00‏ 


الفصل الرابع عشر 


يقدم العديد من كبار باعة البرمجيات منتجات برمجية مختلفة لقاعدة بيانات إدارة 
المحتوى 081128©. يقدم الشكل التوضيحي )"-١4(‏ عرضا تصويريا ما يجب أن تظهر عليه 
قاعدة البيانات تلك أو مكوناتها الرئيسية. ليس الهدف من هذا الفصل هو تقديم وصف 
تقني حول كيفية اختيار وبناء قاعدة بيانات إدارة التهيئة 0011(8): ولكن الهدف هو 
وصف المكونات الرئيسية لها. وبناء على الشكل التوضيحي )١-١5(‏ فإن قاعدة بيانات إدارة 

التهيئة يجب أن تحتوي على العناصر والمكونات التالية: 

٠‏ إدارة مستخدمي قاعدة بيانات إدارة التهيئة 28 ::M‏ باعتبارها أحد النشاطات 
المؤسسية الرئيسية للتحكم بقاعدة البيانات» فإن هناك حاجة إلى وجود واجهة 
للمستخدم والمهام الإدارية. حيث سيكون هذا مزيجا من الموارد التقنية الخاصة بتقنية 
المعلومات للمساعدة من خلال الإدارة والمتابعة الشاملة لقاعدة البيانات. هذا بالإضافة 
إلى توفير عمليات إدارية لتعريف وإدخال عناصر تهيئة 15:) جديدة كلما زاد نمو وتغير 
النظم والعمليات. فبالإضافة إلى بناء عناصر التهيئةء فإن هناك حاجة إلى وجود أدوات 
للاستعلام عن حالات تلك العناصر وتحسين آدائها. 

«٠‏ أمن قاعدة بيانات إدارة التهينة وأدوات وصول المستخدمين 0111(1: بينما يكون 
هناك حاحجة دائمة لأمن تقنية المعلومات وأدوات لضبط عمليات الوصول إليهاء فإن 
المسألة أصبحت أكثر أهمية فيما يخص قاعذة البيانات الشاملة والضخمة لإدارة التهيئة 
. تلك المنطقة التي يمكن لشخص ما فيها أن يحصل على صلاحيات وصول 
لجميع مصادر بيانات المؤسسة. لذا فوجود ضوابط أمنية قوية يعد من الأمور الأساسية 
في هذا اللجال. 

٠‏ الأدوات الخاصة بإدارة تهيئة قاعدة البيانات: تعد هذه إحدى الأدوات الخاصة بمجال 
قواعد البيانات التي يجب أن تكون متاحة لتصميم هياكل البيانات الخاصة بعناصر 
التهيئةء وذلك لتعزيز فاعلية قاعدة بيانات إدارة التهيئة 28 ..M‏ أما الأمر الأكثر أهمية. 
فهو أن هذا هو المجال الذي يجب أن تكون فيه أدوات الضبط القوية الخاصة بال مراجعة 
موضوعة في موضع التنفيذ. 


٤۵٦‏ دليل المسئول التنفيذي لحوكمة تقنية المعلومات 


إدارة تهيئة ومحفظة تقنية المعلومات 


« إدارة البيانات ومستودع قاعدة البيانات: يصف هذا العنصر قاعدة البيانات الفعلية: 
كما يبصف برمجيات التشغيل لها وكذلك الضوابط امادية والبيئية الخاصة بها. لذا هناك 
حاجة لأخصائيين يتمتعون بمهارات عالية في مجال برمجيات قواعد البيانات لإدارة وضبط 
البرمجيات. وبالطبع لا بد من وجود عمليات صحيحه معمول بها فيما يخص النسخ 
الاحتياطي واستمرارية الأعمال. 

٠‏ ضوابط أمن وحماية البيانات: كما أن هناك احتياجات لضوابط أمن ووصول قوية 
معمول بها على روابط واجهة المستخدم: فإن هذه العمليات الأمنية تكون أكثر أهمية 
لأنها تعمل مستودعات من قاعدة بيانات إدارة التهيئة (0211(8©) وغيرها من نظم 
الاستخدام الأخرى. 

ه مستودعات تكامل البيانات: يجب أن يوفر التشغيل الكامل لقاعدة بيانات إدارة 
التهيئة 2/18© وصلات إلى مجموعة عريضة من النظم والعمليات. ويعد هذا بمثابة 
رابط للنتائج الهامة بين قاعدة بيانات إدارة التهيئة 081108 والكيان الكبير للتطبيقات 
الأخرى. 

ه الأدوات الخارجية للاكتشاف والمتابعة: بالذهاب إلى ما هو أبعد من قاعدة البيانات 
الفعلية لإدارة التهيئة 58 CM‏ الخاصة بالمؤسسة: فإنه يجب أن يكون هناك مجموعة 
واسعة من الآخرين من الذين لديهم حاجة للوصول إلى بيانات KM D(8‏ ومراقبتها. 
فعلى سبيل ال مثال» قد يحتاج مدققو تقنية ال معلومات إلى مراجعة هياكل بيانات محددة 
وعمليات أخرى ليست من ضمن عمليات المستخدمين الاعتيادية: ولا حتى من عمليات 
مسئولي الرقابة. 


٠‏ مستودعات بيانات أخرى: يبين الشكل التوضيحي )۳-٠١(‏ أن قاعدة بيانات إدارة التهيئة 
8 هي بالعادة ليست المستودع المركزي الوحيد لبيانات التهيئة. بل سيكون 
هناك أدوات أخرى لقاعدة بيانات التهيئة كذلك. فبالنسبة لمستودع البيانات هذا أو أي 
مستودع آخر لقاعدة بيانات إدارة التهيئة 0211(8: فإنه يجب أن يكون هناك ربط قائم 
ومعمول به مع تلك الواجهات الأخرى. 


دليل امستول التنفيذي لحوكمة تقنية المعلومات 0V‏ 


الفصل الرابع عشر 


تصف القائمة السابقة خصائص قاعدة بيانات إدارة التهيئة 0141(8. فبالنسبة 
للمؤسسات الكبيرة وال معقدة. سيكون من الصعب إطلاق وتنفيذ مثل هذه الإدارة والعملية 
الخاصة بتقنية المعلومات بشكل فعالء غير أنه يجب أن تكون هناك فوائد ومنافع مستمرة 
من قدرات وكفاءات النظم. إن تطبيق قاعدة بيانات فعالة لإدارة التهيئة 01/1108 يعد 
أحد الأدوات الهامة في كفاءة وحوكمة تقنية المعلومات بالنسبة لأي مؤسسة تمتلك مجموعة 
كبيرة ومعقدة نسبياً من نظم وعمليات تقنية المعلومات. 


إنشاء قاعدة بيانات إدارة التهيئة 0111013 في المؤسسة: 

يعلن العديد من باعة البرمجيات عن منتجات خاصة بقاعدة بانات إدارة التهرئة 
8 عاى أنها جزء من العروض الخاصة بهم. وبالرغم من أن معظم هذه المنتجات 
يجب أن تتفق ومعايير إطار العمل آيتلء إلا أنه لا يوجد تعريف موحد ومتناغم بين تلك 
المنتجات. وبينما مكن لتطبيق قاعدة بيانات إدارة التهيئة 011108 أن يكون المشروع 
الرئيسي بالنسبة للمؤسسة» فإن إدارات تقنية المعلومات الأصغر والأقل نضجا لا ترغب في 
الاستثمار في برامج قاعدة بيانات إدارة التهيئة 28 ٨M‏ المكلفة والمعقدة. حيث يمكنهم 
تنفيذ مجموعة محددة من عمليات إدارة التهيئة بواسطة استخدام أدوات برمجية مكتبية 
بسيطة مثل الإكسيل 8<©6[1. وتعد قاعدة بيانات إدارة التهيئة 01/1108 بمثابة نظام لإدارة 
المعرفة أكثر من كونها منتجا من المنتجات البرمجيةء كما أنها تعتبر فهرسا أكثر من كونها 
قاعدة بيانات معقدة. هذا يعني كلما كانت كمية البيانات الخاصة بعناصر التهيئة صغيرة 
استطاعت اللؤسسة الاستفادة من مزايا قاعدة بيانات إدارة التهيئة 1411(8© من خلال عدة 
طرق - كالورقء أو مخططات ۰۷1510 أو قواعد بيانات 1155 4660, أو العقول البشرية؛ وما 
شابه. وهذا بالضبط ما تم تثبيته في العديد من المؤسسات. 
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إدارة تهيتة ومحفظة تقنية المعلومات 
شكل توضيحي (6١-؟)‏ 
عرض تصورىي لقاعدة سانات إدارة التهيئة 011101 


واجهات 2 الخاصة بفاعدة بيانات دار ة التبيئة 61/08 








من تاحية أخرئ. فإنه عندما تتسع إدارة تقنية المعلومات ف المؤسسة جغرافيا بشكل 
كني ويكون لديها مئات أو آلاف ابلس تخدمين والمواقع: فإن هذا العذة المهول لثلك 
الاختلافات ف التهيئة يتطلب حلا من نوع خاص لقاعدة بيانات إدارة التهيئة 78 631. 
إن تقنية المعلومات أو الفريق الإداري الذي يبحث عن الحل المناسب أو من يقوم بتثبيته 
يجب أن يقوم بوضع معايير ومتطلبات خاصة بأداء نظام قاعدة بيانات إدارة التهيئة 


دليل المسئول التنفيذي لحوكمة تقنية ا معلومات £0۹ 


الفصل الرابع عشر 


8 لديهم. لذا فان نظام قاعدة بيانات إدارة التهيئة 02/18 في المؤسسة يتطلب 
بعض المزايا الفريدة. وهي أولاء إن الحل الحقيقي لقاعدة بيانات إدارة التهيئة 1128© 
يعتمد على مفهوم قديم في قاعدة البيانات يدعى نمذجة الأبعاد والذي فيه خروج بسيط 
عن النمط. وفيه يجب أن يكون الحل الخاص بقاعدة بيانات إدارة التهيثة في المؤسسة 
معتمداً على نموذج قاعدة بيانات الأبعاد بدلا من قاعدة البيانات العلاقية الشائعة في 
الوقت الراهن. فقواعد البيانات العلاقية الموجودة هذه الأيام مثل أوراكل 02816 ودي 
في تو 282 الخاصة بشركة 18M‏ لا تستطيع القيام بالمهمة المنوطة بقاعدة بيانات إدارة 
التهيئة 2/11(13©. 


وتعود هذه المفاهيم الخاصة بنماذج قواعد البيانات العلاقية المقابلة لنماذج قواعد 
بيانات الأبعاد إلى سبعينيات القرن الماضي مع العديد من القضايا ا منسية من قبل معظمنا 
ممن عاصروها. في هذا القسم» سنقوم بشرح ما يحتاج إليه الحل البرمجي لقاعدة بيانات 
إدارة التهيثة 01411(78© على مستوى المؤسسة ومن هذه الاحتباجات: قاعدة بانات الأبعاد 
واتحاد وتوافق وتزامن ونمذجة البيانات. وهنا لسنا بصدد تقديم مقالة تتحدث عن نمذجة 
قواعد البيانات» بل نهدف إلى إيجاز بعض المفاهيم الضروريه والرئيسية بالنسبه لقاعدة 
البيانات الفعالة لإدارة التهيئة 61/11(1©. 


معمارية قاعدة البيانات العلاقية مقابل معمارية قاعدة بيانات الأبعاد: 
تستخدم قاعدة البيانات العلاقية أسلوب "الصف والعمود" الذي يشبه طريقة حفظ 
البيانات في الجداول الإلكترونية الخاصة ببرنامج الإكسيل ا8<66 أو في نظام معالجة المعاملات 
عبر الإنترنت. وسيكون من السهل هنا البحث عن البيانات المخزنة في قاعدة البيانات 
العلاقية في حال كنت تعرف مقدما ما الذي تريد رؤيته. من ناحية أخرىء فإن قاعدة بيانات 
إدارة التهيئة 081108 لا تقوم بتخزين معظم بياناتهاء فهي تشير إلى بيانات محفوظة في 
قواعد بيانات أخرى قد تكون علاقية. وتستخدم قاعدة بيانات إدارة التهيئة 01118 أيضا 
لتقديم ما يطلق عليه التوعية السياقية على فئات من البيانات غير المترابطة بشكل واضح. 
على سبيل ال مثال» قد يكون الاستعلام الشائع في قاعدة بيانات إدارة التهيئة 1/11(8© هو 
"ما عدد المستخدمين في قسم المبيعات الذين استخدموا نظام 547 خلال الأسبوع الأخير 
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من الشهر؟". هذا النوع من الاستعلامات لا يتناسب بالمرة مع قاعدة بيانات علاقية مركزية 
من خلال معاملات استعلام سبق بناؤها. حيث يوجد العديد فقط من التوليفات الممكنة 
بين البيانات. فهذا النوع من الاستعلامات يتعين عليه سحب البيانات من عدة نظم. ومن 
المحتمل ألا تكون البيانات التي يحتاج إليها هذا الاستعلام مصفوفة بشكل جيد في صفوف 
وأعمدة جاهزة للاستعلام. بل يجب على قاعدة بيانات إدارة التهيئة 28 UM‏ الخاصة 
بالمؤسسة أن تستخدم تقنية الأبعاد التي تمثل البيانات كما لو كانت أبعادا أو مستويات 


تشتمل أبعاد قاعدة بيانات إدارة التهيئة 021128 غالبا على الموقع (مثل المدينة 
والولاية والطابق ... إلخ) ومجموعات العمل مثل إدارة المبيعات وإدارة التسويق وما 
إلى ذلك وكذلك خدمات تقنية المعلومات مثل ساب 54۴ أو البريد الإلكتروني والنطاقات 
الزمنية وغيرها. فبدلاً من استخدام جداول البيانات الإلكترونية الخاضة ببرنامج الإكسيل 
والمكونة من صفوف وأعمدةء ينبغي على المرء التفكير بأحد أنواع تمثيل البيانات الذي 
يدعى مكعب روبيك 0056© RK‏ ليبداً بتكوين الفكرة. فال منطق المطلوب هنا ليس 
جديداًء فقد كان موجوداً معنا لسنوات لكن بشكل أطلقنا عليه مصطلح المعالجة التحليلية 
المباشرة المتصلة .0nline Analytical Processing (OLAP)‏ في جميع الأحوال» فإن 
التمثيل البسيط للمعالجة التحليلية المباشرة (المتصلة) 01.42 لا يعطيك قاعدة بيانات 
إدارة التهيئة 021108 وذلك لسببين في غاية الخصوصية: أولهماء أن معظم البيانات الخاصة 
بقاعدة بيانات إدارة التهيئة 28 CM‏ توجد خارج نظام قاعدة البيانات نفسها. ولي يتم 
سحب البيانات من مصادر متعددة فإن ذلك يتطلب اتحادا 16406131102 - وهو تعبيرٌ طنان 
جديدٌ في قاعدة بيانات إدارة التهيئة (0211(8©). وهو ما سنتحدث عنه في الأقسام التالية. 


اتحادية قاعدة السبانات :Database Federation‏ 

إن قاعدة بيانات إدارة التهيئة 211(8© هي ما يطلق عليها قاعدة البيانات الوصفية 
35 ...+ هذا يعني أنها عبارة عن قاعدة بيانات تشر إلى قواعد بيانات أخرى. 
فالشرط الرئيسي لقاعدة بيانات إدارة التهيئة هو ما يطلق عليه نمذجة الأبعاد أو الاتحادية: 
وهي عبارة عن مراجع للبيانات من مصادر متعددة. وقد كانت القضية الخاصة بصحة 


دلبل المسئول التنفيذي لحوكمة تقنية المعلومات 1 


الفصل الرابع عشر 


البيانات هي القضية التي آدت لأول مرة إلى اتحادية البيانات. فعندما تقوم بعمل نسخة 
من شيء ماء ما هو برأيك السند القطعي؟ الأصل آم النسخة؟ وكيف تستطيع أن تعرف 
أن النسخة هي الأصل نفسه؟ 

إن المفاهيم التي تدور حول اتحادية قاعدة بيانات إدارة التهيئة 0111078 تتعلق بكيفية 
الاتصال بمصادر بيانات غير متجانسة والبت بشأن أي من أجزاء البيانات تكون مؤكدة ومن 
ثم إنشاء وحفظ مفاتيح لبيانات فريدة غير موجودة في أي من مصادر البيانات الخارجية 
إلا آنها لا تزال مطلوبة. على سبيل ال مثال» قد تكون البيانات غير الموجودة في أي نظام 
من هذه النظم هي اسم خدمة تقنية المعلومات ومن هم المستخدمون لها. كما يجب 
أن مكون هناك أنشا طريقة لحفظ المعرفة (الوعي) 413161655 بأنواع السانات الموجودة 
في كل مصدر من مصادر البيانات التي تم توحيدهاء وذلك لإجراء الاستعلامات الفورية أو 
المخصصة (غين المعرقة مسبقا) 

إن الفكرة الخاصة باتحادية قاعدة بيانات إدارة التهيئة 011108 تتطلب الاتصال 
بالعديد من مصادر البيانات» إلا أن امتلاك نظام قاعدة بيانات إدارة التهيئة سيسمح 
حقيقة بتوحيد تلك المصادر للبيانات. ويعد هذا أمرا في غاية الصعوبة على أرض الواقع. 
فالاتحاد هو واحد فقط من متطلبات الامتثال التقنية الأربعة لقاعدة ببانات إدارة التهيئة 
التي لها الدرجة نفسها من الصعوبة. لنتأمل ذلك: ماذا لو كان هناك مخزنان 
من البيانات يشيران إلى البيانات نفسها؟ أي مخزن بيانات يكون قطعي الدلالة؟ ثم الأمر 
الأكثر أهمية» كيف تستطيع أنت أن تحدد أي منهما هو المؤكد؟ وتعد هذه من القضايا 
الخاصة مطابقة وتوافقية البيانات. 


توافقىة السانات في :CMDB‏ 

بصرف النظر عن قضية الاتصال بمصادر بيانات غير متجانسة: والتي من ال محتمل 
أن تكون أيضا تنافسية» يمكن أن تتم بكل بساطة: فالمشكلة الكبيرة التي تواجه عملية 
الاتحاد الخاصة بقاع دة بيانات إدارة التهيئة N18‏ هي ما يسمى مطابقة البيانات 
.Data confrontation‏ أثناء إنشاء ا معلومات السياقية لقاعدة السانات الوصفية الخاصة 
بقاعدة بيانات إدارة التهيئة 01/1108 وصيانتهاء يتم تحويل أجزاء أساسية من البيانات 


إدارة تهيئة ومحفظة تقنية المعلومات 


من مصادر البيانات الموحدة إلى مخازن السانات الخاصة بقاعدة بيانات إدارة التهيئة 
8. ونظراً لأنه من الشائع أن يكون هناك عدة تطبيقات ونظم متداخلة تقوم 
بطلب الأصول الخاصة بتقنية ا معلومات نفسها أو تحتفظ بالبيانات نفسهاء فمن اللحتمل 
أن يؤدي ذلك إلى عدم تناغم البيانات وتكرارها. وهذا هو ما يعرف بمطابقة البيانات. 
توافقيه البيانات 166011112101 ata‏ تعني تخديل أو تكبيق البيانات اللسحمدة 
من أكثر من مصدر واحد لإنهاء التكرارات والحفاظ على تناغم البيانات. إذ لا فائدة 
من الاتحادية في ظل وجود مشكلة التوافقية. فالتوافقية على أية حال ليست نهاية 


مزيدا من التعقيد لنظام قاعدة بيانات إدارة البنية M08‏ هو الحاجة إلى معالجة أي 
تغيرات ناجمة من التسويات الصحيحة والناجحة للبيانات: وهذا ما يقودنا إلى ما يعرف 
بالتزامن 571111:01112261011. 


تزامن بيانات 58( :CM‏ 

يمكن أن تتغير البيانات المخزنة في قاعدة بيانات إدارة التهيئنة 011108 الموحدة 
عند وقوع أحداث كتغيير اسم مدير المشروع (مثال "المستخده") أو تغيير نوع المعدات 
المستخدمة من la Cisco series 2504 software‏ إلى 2801 ه156ة©. لذا يجب أن تكون 
عملية توافقية البيانات قادرة على حل هذه الاختلافات للمحافظة على سلامة بيانات 
قاعدة بيانات إدارة التهيئه 14110(18ع). لكن هذه تقنيه معلومات وليست مستودع بيانات 
"بسيطا". فلا ينبغي تغيير أي عنصر من عناصر التهيئة 01 الموجودة في قاعدة بيانات إدارة 
التهيئة التي تتفق مع آيتل دون أن يكون هناك طلب للتغيير. ومن ثم فإن نظام قاعدة 
بيانات إدارة التهيئة 111(8© الذي يستطيع أن يوحد ويعمل على توفيق البيانات بنجاح 
يجب عليه أيضاً أن يكون قادراً على التنبيه عندما يتم الكشف عن تغيرات غير مصرح بها 
وغير مخطط لها. فالإخفاق في مزامنة التغيرات التي تمت تسويتها سرعان ما يؤدي إلى 
الخروج عن سيطرة قاعدة بيانات إدارة التهيئة 28 0M‏ وهو ما يمكن وصفه بالكارثة. 

هذا يعني أن نظام قاعدة بيانات إدارة التهينة 021108 بحاجة إلى معرفة التغييرات 
التي تمت الموافقة عليها. ثم عندما يقوم محرك توافقية البيانات بكشف وتحليل لأحد 
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التغيرات في البنية التحتية أو في البيانات» فعليه أن يقوم بمقارنة هذا التغيير بقائمة التغيرات 
المعتمدة المتوقعة وأن يقوم بإصدار تنبيه في حال كان التغيير غير معتمد أن (يكون غير 
مخطط له مثلا). هذا التنبيه يلفت انتباه مديري قاعدة بيانات إدارة التهيئة 1111© 
للبيانات الخاصة بقاعدة السانات هذه. هؤلاء المديرون بحاحة إلى مساعدة بيانات 
معروضة وتصويرية ورسومية. وهو المتطلب التقني الرئيسي التالي للنمذجة. 


نمدجة :CMD8‏ 
النمذجة 110061128 هي مناظرة العلاقات المركبة في قاعدة البيانات ووضع تصور 
لها. وهي عبارة عن تعريفات لخدمات تقنية المعلومات وروابط بين عناصر التهيئة 15). 
فالنمذجة هي أكثر من مجرد تقرير أو عرض قوائم للموارد على شكل أشجار وفروع. لذا 
يتعين على قاعدة بيانات إدارة التهيئة 28 COM‏ أن تكون قادرة على عرض بياناتها بصورة 
واضحة وبطرق تسمح للناس باستخدام تلك المعلومات لتقييم الآثار المترتبة على إدارة التغيير, 
وتحديد صلاحيات إدارة مكتب الدعم الخاص بإدارة تقنية المعلومات» واكتشاف الأعطال 
وإصلاحها من خلال العمليات الخاصة بإدارة الحوادث والمشاكلء والعشرات من الاستعلامات 

الفورية 01161165 1106 40 من جميع العمليات التشغيلية الخاصة بتقنية ا معلومات. 

إن مطلب النمذجة هذا يذهب إلى ما هو أبعد من مجرد قوائم بسيطة "لشجرة أدلة" 
كالتي نجدها بشكل شائع في بعض منتجات قاعدة بيانات إدارة التهيئة 28 ..M‏ فلا 
قيمة لكل من اتحاد وتوافقية وتزامن البيانات في حال م يتمكن ال مستخدمون من الحصول 
على إجابات نهائية ومفهومة على أسئلتهم المعقدة في أسرع وقت ممكن. ويتطلب هذا 
في أغلب الأحيان تمثيل العلاقات المعقدة بين عناصر البنية 15© بشكل بيان حسب الطلب. 

باختصارء إن قاعدة بيانات إدارة التهيئة 011108 في المؤسسة ليست وحيدة: إنما هي 
عبارة عن نظام معقد يتعين عليه توحيد مخازن أخرى للبيانات» والتوفيق بين ا منظورات 
البديلة أو المختلفة للبيانات نفسهاء والكشف عن التغيرات غير المصرح بهاء والعمل على 
مزامنة التغيرات المعتمدة مع مخازن البيانات الوصفية الخاصة بها وآن يكون قادر على 
تمثيل الهياكل (التكوينات) بيانياً وبشكل متغير حسب الطلب. وهذا ليس بالأمر السهل. 
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يجب على المؤسسة التي تقوم بتطوير قاعدة بيانات إدارة التهيئة 0241108 الخاصة 
بهاأن تتعهد تلك المفاهيم المتعلقة بالنمذجة المتعددة الأبعادء وقضايا الاتحاد: والتوافقية 
والتزامن والنمذجة بشكل شمولي. وبالرغم من أن المدير الأول الذي يقوم بتقييم الخطط 
الخاصة بقاعدة بيانات إدارة التهيئة 58 COM‏ أو النظم المثبتة قد لا يكون لديه مستوى 
معين من الإلمام بهذه المفاهيم الخاصة بعلوم الحاسب؛ فإنه من المناسب جدا بالنسبة 
للمدير الأول أن يسأل أحد العاملين لديه في إدارة تقنية المعلومات عن كيفية التعامل 
مع هذه المسائل. وق حال عدم ارتياحه لتلك الإجابات: فربما من الضروري العمل مع 
استشاري في تلك القضايا. 


في جميع الأحوالء ينبغي على ا لمؤسسة التي تعمل على إطلاق قاعدة بيانات إدارة 
التهيئة 21108© أن تقوم بوضع عمليات لمراقبة وضمان حدوث الاتحادء والتوافق» والتزامن 
والنمذجة. فالإخفاق في إدارة تلك القضايا الحساسة والحرجة يمكن أن يحول وبشكل سريع 
مشروع قاعدة بيانات إدارة التهيثة 28 CM‏ من أصل ءءء إلى التزام 7إ116ذط12.آ. 


إدارة محفظة تقنية المعلومات: 


من الطبيعي أن يكون كل من إدارة تقنية المعلومات ومستخدمي تلك النظم والعمليات 
قد قاموا مع مرور الوقت بتنفيذ أعداد كبيرة من النظم والعمليات المرتبطة بنظم أخرىء 
سواء كان بشكل مباشر آم عد کاک آو أن ككون ظا مستقلة وقائمة بذاتها. وفي العادة 
قد تم تعيين مديري تقنية المعلومات مسئولين عن بعض تلك النظم والعمليات. في حين أن 
الإدارات الخاصة بمستخدمي تقنية المعلومات قد يضطلعون بالمسئولية المباشرة عن النظم 
والعمليات الأخرى. إلا أن كل مدير مسؤول يعتقد غالبا أن النظم الخاصة به أو بها 
الأكثر أهمية عندما يكون هناك خلافات في إعداد الجداول الزمنية للأعمال أو وجود حاجة 
خاصة لإجراء تعديلات» أو احتياجات أخرى متعلقة بالنظم. وتتمكن إدارة تقنية ا معلومات 
عادة من تحقيق بعض الفوائض اطالية الكبيرة الخاصة بالخدمات والاستثمارات» وذلك إذا 
نظرت إلى تلك النظم والعمليات الخاصة بتقنية المعلومات والتي تكون غالبا متفاوتة 
وتقوم بإدارتها على أنها محافظ لوارد تقنية المعلومات „portfolios of 1T resources‏ 
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إن إدارة محفظة تقنية المعلومات تعني تقسيم وإعادة تصنيف وتطبيق إدارة الأصناف 

0 من موارد تقنية ا معلومات. فمبادرات نظم التخطيط والمشاريع الرئيسية والجديدة 
تقنية المعلومات والخدمات المستمرة لدعم تطبيقات تقنية المعلومات هكن اعتبارها 

أمثلة على محافظ تقنية المعلومات. 

إن الالتزام الخاص بإدارة محفظة تقنية المعلومات هو تحديد مقدار الجهود غير 
اة فة ا فاك ما متفسيل امان ولتق راك المدقوعة ارات 
الخاصة بالاستثمار. فمفهوم إدارة محفظة تقنية المعلومات مشابه لإدارة ا محفظة المالية 
إلا أن هناك اختلافات كبيرة بينهما. إذ تكون أصول المحفظة المالية في العادة عبارة عن 
معايير ثابتة لمعلومات قياسية مثل عوائد الاستثمار. من ناحية أخرىء فإن عملية قياس 
قيمة تقنية المعلومات تحتاج غالبا إلى جهود كبيرة. المشكلة هي أن استثمارات تقنية 
المعلوفات ليست متاعة كما هو الخال بالنسبة للأسهم والسندات المالية يتم غالبا قياس 
قيمتها باستخدام مقاييس غير مالية. هذا بالإضافة إلى أن أصول محفظة تقنية المعلومات 
لديها علاقة وظيفية مع المنظمة. مثل نظام إدارة المخزون الخاص بالإمدادات أو نظام 
الموارد البشرية الخاص ممتابعة أوضاع الموظفين. ونظرا لأهميتهم بالنسبة للمؤسسة: فمن 
الصعب قياسهم باعتبارها أحد أشكال محافظ تقنية المعلومات. 

تقدم إدارة محفظة تقنية المعلومات مزايا وفوائد تفوق الأساليب والطرق المتبعة 
في الاستثمارات الخاصة بتقنية المعلومات. كما أن هناك مزايا أخرى تشمل الرقابة 
المركزية على ال ميزانيةء وإدارة ا مخاطرء والتوافق الإستراتيجي لاستثمارات تقنية ال معلومات» 
وطلبات استخدام النظم» وإدارة الاستثمارات إلى جانب توحيد إجراءات وقواعد وخطط 
الاستغمارات. 


تطبيق إدارة محفظة تقنة المعلومات: 

بيجب على إدارة تقنة المعلومات وبالاتفاق مع ا ممستخدمين الرئيسيين الآخرين للنظم 
أن يقوموا بوضع نهج إدارة ا محافظ لادارة موارد تقنية المعلومات الخاصة بها وتطوير 
الأهداف العامة وغايات الأداء المرجوة منها. وتختلف إدارة االمحفظة عن الإدارة المالية 
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لتقنية المعلومات في أن لها توجها صريحاً وهو أن الهدف الإستراتيجي لها يرمي إلى تحديد 

الاستثمارات التي يجب أن نستمر فيها والاستثمارات التي يجب الانسحاب منها. 
يتم تطبيق إدارة محفظة تقنية المعلومات بالنسبة للعديد من المؤسسات من خلال 

تقسيم موارد النظم الخاصة بها إلى ثلاثة مجالات واسعة للمحفظة مع محافظ جزئية 

بداخل كل مجموعة: 

-١‏ محافظ التطبيقات: يمكن أن تحتوي هذه المحافظ على جميع التطبيقات الإنتاجية. 
ويمكن أيضاً تقسيمها إلى محافظ جزئية لمجموعات مختلفة من التطبيقات مثل المالية 
والتطبيقات الإنتاجية الخاصة بالتصنيع وتطوير المنتجات الهندسية. الفكرة هنا هي 
العمل على تطابق وإدارة المحافظ التي لها المفاهيم والأهداف نفسهاء كأن تكون 
هناك محفظة مخصصة للتطبيقات المتعلقة بالرواتب ونظم الموارد البشرية وتطبيقات 
تدريب الموظفين. 
ويجب أن تستند محافظ التطبيقات إلى النظم القائمة مثل النظم المعتمدة على المقر 

الرئيسي للمؤسسة» ونظم الوحدات الليدانية والدولية والنظم الخاضعة لسيطرة المستخدم 

النهاني. كما يجب أن تستند جميع هذه المحافظ إلى قيمتها النسبية في المؤسسة. ويمكن 
أيضا أن تستند اللقارناث والتقييمات إلى مستوق المساهمة في الربحية التي تعود من 
استثمارات تقنية المعلومات. هذا بالإضافة إلى أنه قد تستند هذه المقارنة إلى عوامل غير 
ملموسة كمستوى خبرة إدارة تقنية المعلومات في تقنية محددة أو مدى إلام مستخدميها 

بالتطبيقات والبنية التحتية أو قوى خارجية كظهور تقنيات جديدة وزوال أخرى قديمة. 

- محافظ البنية التحتية: تركز هذه الأنواع من المحافظ على تقنية المعلومات والعمليات 
البرمجية الخاصة بإدارة البنية التحتية. ففي بعض الأحيان يتم تقسيم إدارة البنية 
التحتية إلى فئات من إدارة النظم: وإدارة الشبكة. والأمنء وبرامج إدارة التخزين. 
إن قدرة المؤسسات على استغلال البنية التحتة والعمليات التشغيلية وإذارة خلول 
التوريد والخدمات الخاصة بتقنية المعلومات لا يتوقف على إتاحة وتكلفة وفاعلية 
التطيقلت والخدهات فعسس» وإقا ساعد إذازة شبية وهات أيها على الوضول 
إلى اتفاقات مع مقدمي الخدمات من أجل إدارة كامل عملية التوريد. وسعيا منهم 
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لتقليل التكاليفء وزيادة جودة تقنية المعلومات» وزيادة القدرة التنافسية للمؤسسات 

من خلال انتقاء مصادر وخدمات تقنية المعلومات. فإن العديد من المؤسسات وإدارات 

تقنية المعلومات التابعة لها لا ينظرون إلى الجانب الإداري من المعادلة. ومن النتائج 

التي يمكن التنبؤ بها جراء هذا الإهمال هي المدفوعات الزائدةء وتجاوزات التكاليف»ء 

وتوقعات م تتحقق» والفشل التام. 

تساعد عملية إدارة محافظ نظم برمجيات البنية التحتية لتقنية المعلومات المختصين 
بالبرمجيات على اتخاذ بعض القرارات الصعبة. على سبل المثال» هل نحن بالفعل نريد 
الترقية إلى إصدار جديد لإحدى قواعد البيانات لدينا؟ في حال كانت الإجابة نعم» كيف 
سيتفاعل تطبيق قاعدة البيانات هذا مع عمليات قواعد البيانات المماثلة في جميع أنحاء 
المؤسسة؟ ما التكلفة الكلية التي ستتحملها المؤسسة جراء استخدام هذا المنتج؟ وما القيم 

التي ستحصل عليها المؤسسة منه؟ 

۴- محافظ المشاريع: ينبغي على إدارة المحافظ معالجة قضايا الإنفاق على تطوير القدرات 
الابتكارية من حيث العائد المحتمل من الاستثمار return on investment (RO1)‏ أو 
الحد من تداخل الاستثمارات في حالات حدوث إعادة تنظيم» أو استحواذ. أو الامتثال 
للوائح القانونية والتنظيمية. ويمكن الحكم على القضايا الإدارية مع إدارة محفظة 
المشاريع من خلال معايير مثل عائد الاستثمار 1801 والتوافق الإستراتيجي ونظافة 
البيانات وفوائض الصيانة وملاءمة الحل الناتج والقيمة النسبية للاستثمارات الجديدة 
لاستبدال هذه المشاريع. 
مارست العديد من المؤسسات نشاط إدارة المحافظ على مختلف مشاريع تقنية 

المعلومات والمشاريع التشغيلية لديها من خلال تأسيس مكاتب لإدارة المشاريع. وسيتم 

مناقشة عمليات إدارة المشاريع والبرامج في الفصل السادس عشر من هذا الكتاب. 


مقاييس المحفظة: تحقيق القيمة من خلال إدارة محفظة تقنية المعلومات: 
لن يكون لعملية تقسيم تطبيقات تقنية المعلومات والمصادر الأخرى إلى محافظ 
منفصلة قيمة كبيرة بالنسبة للمؤسسة ما م يتم وضع بعض المقاييس لتقييم قيم المحافظ 


EA‏ دليل المسئول التنفيذي لحوكمة تقنية المعلومات 


إدارة تهيئة ومحفظة تقنية المعلومات 


وا لمساعدة في اتخاذ قرارات أخرى متعلقة محافظ تقنية المعلومات. يجب أن نتذكر أن 
محفظة تقنية المعلومات هي عبارة عن مجموعة من المبادرات والمشاريع و/ أو البرامج 
التي تحقق فوائد وتأثيرات واسعة المدى. 

وعلى الرغم من أن لدينا مجموعة متنوعة من محافظ تقنية المعلومات التي تم 
إنشاؤهاء فإنه ينبغي على المجموعات الإدارية ا مناسبة وضع مهمة سارية لكل محفظة من 
هذه المحافظ المتنوعة لتقنية المعلومات. قد يكون للمرء هدف نحو تعزيز نمو الأعمال في 
مجالات محددة تمت تغطيتها ا مجموعة من التطبيقات بواسطة عدة مليارات من 
الدولارات» في حين قد يسعى شخص آخر إلى تحقيق زيادة ملحوظة في مستوى رضا العميل» 
وآخر قد يسعى إلى زيادة إيرادات المؤسسة من خلال تطوير منتجات جديدة. 

الخطوة التالية هي بناء إستراتيجيات لتحقيق كل هدف من أهداف المحافظ ومن ثم 
وضع مقايبس لقياس مدى نجاحها. وتقتضي النظرة الشمولية هنا أن ننظر إلى مختلف 
تطبيقات وموارد تقنية ا معلومات من حيث حجم مساهمتها في تحقيق القيمة المكتسبة 
من جميع العمليات التشغيلية الخاصة بالمؤسسة. وبالطبع عندما تفشل المحفظة في 
تحقيق رسالتها وأهدافها المرجوة. فقد يكون هذا هو الوقت المناسب لإجراء بعض التغيرات 
ورا يشتمل هذا على إعادة تشكيل مكونات المحفظة: أو تغيير الأساليب بشكل كامل أو 
جلب أشخاص آخرين والزج بهم في هذا الخليط. 

يتعين على عمليات إدارة محفظة تقنية المعلومات وكذلك النظم القوية لإدارة التهيئة: 
أن تحن الأداء الشاهل لعقدة المعلومات وتهعن كذلك الخمليات التشعباية لحوكمة 
تقنيه المعلومات. كما يجب على كل من هذين المجالين تشجيع كل من موظفي تقنية 
المعلومات والإدارة العامة على التفكير بشكل أفضل بالعمليات التشغيلية لتقنية اللعلومات 
كما لو كانت مشاريع استثمارية لأعمال ايمؤسسة. 


دليل المسئول التنفيذي لحوكمة تقنية ا معلومات 3 


EVs 


الفصل الخامس عشر 
عمليات تنفيذ النظم التطبيقية وحوكمة تقنية المعلومات 


كانت عملية تطوير النظم التطبيقية في فترة من الفترات مصدر قلق كبير بالنسبة 
لإدارات تقنية المعلومات. وذلك عندما كانت معظم وحدات برمجة وتطوير نظم تقنية 
المعلومات تقوم بتصميم النظم الجديدة الخاصة بها وتكتب البرامج باستخدام موارد قسم 
تقنية المعلومات وتقوم بتنفيذ واختبار المكونات البرمجية الأساسية للتطبيقات الجديدة. 
وقد كانت عملية التطوير هذه في بعض الأحيان تقود بعض ال مؤسسات إلى نفق مظلم. 
وكان يتم عادة تسليم تطبيقات تقنية المعلومات الجديدة اللحلية أو المطورة داخليا في 
وقت متأخر أي بعد الوقت المحدد بكثيرء وكان يتم اختبار تلك الأنظمة بشكل ضعيفء وم 
تكن تحقق أهدافها المعلنة. والأسوأ من ذلكء أنه كان في بعض الأحيان يتم إطلاق مشاريع 
تطبيقات جديدة دون فهم واضح لأهداف النظام. ويعود هذا العصر من مشاريع تطوير 
التطبيقات الفاشلة إلى الأيام الأولى لظهور تقنية المعلومات. وذلك عندما شعر الجميع بأن 
متطلبات نظم تقنية ا معلومات الخاصة بهم عبارة عن متطلبات فريدة من نوعها وخاصة 
بأنظمتهم فقط. الأمر الذي استوجب عليهم القيام بتطوير التطبيقات الخاصة بهم لدعم 
وتحقيق تلك المتطلبات الفريدة والخاصة بهم. 

وفي الوقت الذي كان مؤلف هذا الكتاب يسترجع تاريخه ليبين ذلك» فقد أقر بأنه كان 
يعمل ذات يوم في إحدى شركات تقنية المعلومات حيث كانت هناك جهود خاصة بتطوير 
النظم من أجل تطوير تطبيقات جديدة خاصة بحسابات المدفوعات - وقد كان آنذاك 
عبارة عن تطبيق لتحرير الشيكات بصورة فعالة - أو حتى لتطوير وبرمجة نظم جديدة 
لمعالجة الرواتب! وذلك في ضوء القوانين الخاصة بالولاية أو القوانين الوطنيةء فقد كان 
هناك بالفعل اختلافات ضئيلة بين المتطلبات الخاصة بأحد نظم الرواتب مقابل متطلبات 
غيره من النظم. من جهة أخرىء وبالعودة إلى تلك الأيام فقد كان هناك عدد قليل من 
التطبيقات التي يتم تطويرها بشكل تجاري لاستتئجارها أو شرائها. أما اليوم» فإننا بشكل 
عام نقوم بشراء هذا النوع من الومحبات من أحد الموردين الخارجبي الذين يقومون 


دلبل المسئول التنفيذي لحوكمة تقنية المعلومات الاع 


الفصل الخامس عشر 


بتوريد البرمجيات والتحديثات الخاصة بها على نظام حاسبات الخادم - العميل الموجود في 
مكاتب المؤسسة أو إتاحة تلك البرمجيات من خلال بيئة الحوسبة السحابية (انظر الفصل 
التاسع من هذا الكتاب الذي يتحدث عن الحوسبة السحابية). 


وعلى الرغم من الانتقال هذه الأيام من التطبيقات المطورة داخليا إلى التركيز 
أكثر على البرمجيات التي يتم شراؤها وتوريدها من قبل أحد الباعة؛ لا تزال هناك 
حاجة لدى المؤسسة بأن تقوم بتطوير وبناء واختبار بعض نظم التطبيقات الخاصة 
بها أو آن تقوم بالتعديل على بعض التطبيقات التي قامت بشرائها. ويعد هذا الأمر 
واقعيا على وجه الخصوص عندما تقوم المؤسسة بتطبيق أحد نظم قواعد البيانات 
المعقدة ذات اللهام المتعددة والمترابطة والمعروفة بنظم تخطيط موارد المؤسسة إي 
آر بي .Enterprise Resource Planning (ERP)‏ حيث تمتلك هذه النظم المعقدة 
التي يتم توفيرها من قبل الباعة القدرة على ربط جميع وظائف التطبيقات تقريبا 
في مجموعة واحدة من قواعد البيانات المترابطة. على سبيل المثال» عند تثبيت نظام 
157 في بيئة نظام صناعي» فإن تنفيذ طلب شراء منتج قد يتسبب في إحداث تغيرات 
في كل من نظام التصنيع ونظام الإنتاج» حيث يتم وضع أمر التوريد عند الحاجة إلى 
مواد اضافية وغيرها من العمليات الكاملة لبيع وشحن الانتاج. 

وكعنصر أساسي من عناصر العمليات الرشيدة لحوكمة تقنية المعلومات» فإن المؤسسة 
تحتاج إلى عمليات قوية لتطوير نظم تقنية ا لمعلومات» سواء لبناء تطبيقات بطرق تقليدية 
آم للحصول على ترخيص من البائع فيما يخص التطبيق السحابي. 

يناقش هذا الفصل الجوانب الخاصة بحوكمة تقنية ا معلومات فيما يتعلق بأساليب 
تطوير التطبيقات الخاصة بتقنية المعلومات من منظور التطبيقات التي تم تطويرها عبر 
عمليات تطوير نظم معتمدة ومعروفة جيداء مرورا بالعمليات الشائعة لتطوير التطبيقات 
السريعة باستخدام تطبيقات لإنشاء أنواع مختلفة من التقاريرء ووصولا إلى قواعد البيانات 
الشاملة لنظام تخطيط موارد المؤسسة 81288. لذا يجب أن يكون لدى إدارة اللمؤسسة فهم 
جيد لعمليات حوكمه تقنية المعلومات التي تحيط بجهودها المبذوله لتطوير تطبيقات 


نظم جديدة. 


EV‏ دليل المسئول التنفيذي لحوكمة تقنية المعلومات 


عمليات تنفيذ النظم التطبيقية وحوكمة تقنية المعلومات 


دورة حياة تطوير النظم: إحدى التقنيات الأساسية لتطوير التطبيقات: 

لقد كانت السنوات الأولى لتطوير تطبيقات تقنية المعلومات مليئة بالكوارث فيما يخص 
النظم الجديدة في العديد من المؤسسات. كان ابمدير الأول - غالبا المراقب المالي للمنظمة - 
يقوم بإخبار رئيس قسم تقنية المعلومات بأنه يريد تطبيقاً جديدا لتحقيق حاجة ما. وبدون 
إجراء المزيد من عمليات التحليل يقوم فريق البرمجة بالتجمع لكتابة برامج لتلبية هذه 
الحاجة. وكانت النتائج فاشلة غالباً. حتى وإن كانت تلك التطبيقات الجديدة تعمل وتم 
تسليمها في الموعد المناسب» فإنها لم تكن تلبي غالبا متطلبات وتوقعات الإدارة. إننا نتكلم هنا 
عن الأيام الأولى لنظم الحاسبات المركزية 1221112126 لتقنية المعلومات عندما كانت عملية 
شراء البرمجيات غير معروفة وكان الجميع يقومون بإنتاج التطبيقات الخاصة بهم. 

بالتأكيد م تكن المفاهيم الخاصة بحوكمة تقنية المعلومات معروفة في تلك الأيام 
المبكرة التي كانت تتميز بوجود نظم الحاسبات المركزية» وبرامج الكوبول 00180[1©., 
والتي كانت تتميز بوجه خاص بوجود النظم الموجية نحو الدفعة batch-oriented‏ 
85 ,: وقد كان هناك بالتأكيد العديد من الإخفاقات الخاصة بتطوير التطبيقات. 
ولتنظيم عملية تطوير النظم وقتهاء قامت شركة 1821 وهي المزود الرئيسي للمعدات 
والبرمجيات في تلك الأيام بإطلاق نهج خاص بتطوير النظم عُرف بدورة حياة تطوير النظم 
.Systems Development Life Cycle (SDLC)‏ وعلى البق من محاولة العديد من 
الشركات الأخرى إنتاج أساليب أخرى مختلفة لتطوير النظم» فإن نهج 521٣‏ أصبح هثابة 
العملية الرئيسية لتطوير التطبيقات الفعالة في تقنية المعلومات. 

يعرض الشكل التوضيحي )١-٠١(‏ الخطوات العملية الأساسية لنهج 521٤‏ في شكل 
عملية دائرية أو مستمرة. ومع أن المؤسسة وإدارة تقنية المعلومات التابعة لها بإمكانهم 
البدء بعملية تطوير النظم من أي نقطة. فإن هناك أولا حاجة لعملية تحليل المتطلبات: 
وهذا يعني أنه قبل أن تبدأ وحدة تقنية المعلومات بأي عمل يتعلق بتطوير النظم» يجب 
عليها أولا الحصول على تفاهم رسمي حول الأهداف والتوقعات الخاصة بمشروع النظام 
الجديد. ومن الطبيعي أن يتم التوثيق والتصديق على ما تم الاتفاق عليه من خلال عملية 
إدارية مع عمل تقديرات أولية لتكاليف النظام الجديد والفوائد المتوقعة منه. 


دلبل المسئول التنفيذي لحوكمة تقنية المعلومات راع 


الفصل الخامس عشر 


وبمجرد أن تتم الموافقة على التطبيق الجديد: يتعين الانتقال إلى مرحلة أخرى رسمية 
من تصميم وبرمجة التطبيق. ويجب أن يتم تطوير وتوثيق كل برنامج ومكون من برامج 
ومكونات النظام الجديد ومن ثم اختباره باعتبارها وحدة مستقلة. ثم ننتقل بعدها إلى 
مرحلة اختبار وتطبيق النظم بالكاملء الأمر الذي يؤدي إلى تطبيق النظام. 


شكل توضيحي (۱-۱۵) 


مراحل دورة حياة تطوير النظم .5101 









SDLC 
دورة حياة تطوير النظم‎ 
المراحل التنفيذية للتطبيق‎ 








ع دليل المسئول التنفيذي لحوكمة تقنية ا لمعلومات 





عمليات تنفد النظم التطسقية وحوكمة تقنية العلومات 


إن المفهوم الشامل من وراء عملية دورة حياة تطوير النظم S21٣‏ هي أنه عند تنفيذ 
تطبيق جديدء ينبغي على إدارة تقنية المعلومات وإدارة المؤسسة مراقبة نجاح وتقدم هذا 
التطبيق الجديد. الأمر الذي قد يؤدي إلى الحاجة إلى إجراء تعديلات أو تنقيحات على 
النظام أو الحاجة إلى نظام جديد كليا. ومن ثم فإن دورة حياة تطوير النظم 551٤‏ هي 
عملية تحسين مستمرة تهدف إلى تطوير التطبيقات الجديدة الخاصة بتقنية المعلومات 
ومراقبتها بشكل مستمر. وتعود عملية دورة حياة تطوير النظم ©.501 تاريخيا إلى 
زمن نظم الحواسيب المركزية ونظم الدفعة التي كانت وقتها تحتاج إلى موافقات ووثائق 
تفصيلية كثيرة لكل خطوة من خطوات العملية. 

وعلى الرغم من تحولنا الآن إلى التطوير السريع وعمليات تطوير تطبيقات النماذج التي 
تعتمد بشكل كبير على البرمجيات التي يوفرها البائح» فإن العناصر الرئيسية لعملية دورة 
حياة تطوير النظم 521٤‏ يجب أن تبقى في موضع التنفيذ بالنسبة لأي عملية تطوير 
لتطبيقات جديدة في تقنية المعلومات. هذا يعني أن تطبيقات النظم الجديدة يجب 
أن تسير دائما من خلال عملية رسمية لتحليل متطلبات النظم وعمليات رسمية لإطلاق 
التطبيقات وعمليات لتحسين تلك التطبيقات والاستغناء عنها في أواخر حياتها. 

بالاعتماد على نوع وطبيعة عملية تطوير نظم تطبيقات تقنية ال معلومات» فإن عملية 
تحليل المتطلبات كن أن تكون غير رسمية أو رسمية للغاية. إلا أن الشكل التوضيحي 
(10-؟) يوجز لنا محتويات العملية التقليدية لتحليل متطلبات تطوير النظم. إن المفتاح 
الرئيسي لهذه العملية هو أنه يجب على فريق المشروع أن يلقي نظرة فاحصة على طلبات 
المستخدمين وحتى على طلبات إدارة تقنية المعلومات المتعلقة بالتطبيق الجديد وتحديد 
ما إذا كانت هذه الطلبات منطقية آم لا. ما يحدث ف الواقع» هو أن العديد من الطلبات 
الخاصة بتطبيق تقنية المعلومات يتم استبعادها بعد التحليل الأوّلي للنظم. وعلى أي حال 
فإن عملية تحليل المتطلبات توفر آلية رسمية لمراجعة الطلبات الجديدة الخاصة بالتطبيق 
الجديد وتحديد ما إذا كانت هذه الطلبات منطقية أم لا. 


يعد تحليل المتطلبات خطوة واحدة فقط من الخطوات ال موجودة ق دورة حياة تطوير 
النظم» إلا أنه يجب تضمينها دائما في عملية تطوير النظم. وكأحد المكونات الرئيسية في عملية 


دليل المسئول التنفيذي لحوكمة تقنية المعلومات ملاع 


الفصل الخامس عشر 


حوكمة تقنية ال معلومات» فإنه ينبغي على المؤسسة وإدارة تقنية المعلومات التابعة لها أن 
تمتلك نموذجا من النماذج المعمول بها لعملية دورة حياة تطوير النظم 521٥‏ حتى في حال 
استخدامهم لعمليات التطوير السريع» كالنمذجة التى سنتحدث عنها في الفقرات التالية. 


عمليات التطوير السريع في تقنية المعلومات: النمذجة (عسام06]م220): 

إن استخدام العمليات الرسمية لدورة حياة تطوير النظم 551٤‏ كان له آثر ومعنى كبير 
في الأيام الأولى لنظم تقنية المعلومات» وذلك عندما كانت المؤسسات هي التي تقوم بتطوير 
وبرمجة تطبيقاتها بشكل كاملء وعندما كان هناك حاجة لتوثيق وصياغة عمليات تطوير 
النظم الجديدة بشكل رسمي. وقد كان. هناك مجموعة متنوعة من التجار الذين قاموا 
ببيع أساليب تطوير الأعمال وإدارات تقنية المعلومات التابعة لها. وقد كانت المنتجات التي 
يتم تسويقها في ذلك الوقت تطلب من مطوري النظم أن يقوموا بتحضير وثائق تفصيلية 
عن جميع مراحل الأعمال التي قاموا بإنجازها. وباتباع ذلك بالشكل السليم» أدت تلك 
ا منهجيات إلى الوصول لنظم تطبيقات جديدة موثقة ومخطط لها على نحو جيد. كان 
هدفها هو مجرد تحسين عملية تطوير وتنفيذ التطبيقات الجديدة لتقنية ا معلومات. وقد 
كانت المشكلة الوحيدة وقتها أن المنهجيات الكثيرة الخاصة بتطوير الوثائق كانت في كثير من 
الأحيان لا تعمل بشكل جيد. فقد كانت اللمنهجيات المنشورة وقتها تتطلب استكمال العديد 
من الوتائق الرسمية؛ وجميعها يحتاج إلى مراجعات وموافقات. ومع ذلك؛ فقد قامت كل 
من وحدة تقنية المعلومات والإدارة بالنظر في أعمال التطوير الجديدة وكانت باستمرار تقرر 
أمورا ليست صحيحة تماما وتبحث باستمرار عن تغيرات وتنقيحات تكون ثانوية غالبا. 

لم يعد هناك وجود بالأساس لبائعي هذه المنهجيات الرسمية المنشورة لدورة حياة 
تطوير النظم 551€ تماماً كما ابتعدنا تحن عن النظم الرسمية للحاسبات المركزية 
113 اما اليوم فهناك تطبيقات جديدة يتم بناؤها غالبا من خلال ادوات برمجية 
سهلة الاستخدام تعتمد على الجداول. حيث إننا نقوم ببناء إصدار أولي أو نموذجيء ومن 
ثم نقوم بتعديل هذا النموذج ليتوافق مع المتطلباتء. ثم نقوم بتنفيذ التطبيق. هذه 
الأنواع من التطبيقات تم تطويرها من خلال عملية تسمى التطوير السريع للتطبيقات 
Application Development (RAD)‏ 10م113. وهي منهجية لتطوير البرمجيات تعتمد 


۷ دليل المستول التنفيذي لحوكمة تقنية المعلومات 


عمليات تنشد النظم التطسقية وحوكمة تقنية اللعلومات 


على استخدام الحد الأدنى من أساليب التخطيط والنماذج المبدئية لإطلاق النسخة أو 
الإصدار الأوَلي» ومن ثم يتم ضبطه وتعديله حتى ينال استحسان الجميع. وينظر كل من 
المستخدمين ووحدة تقنية ا معلومات إلى هذا الإصدار للنموذج المبدئي ويقومون بإجراء 
المزيد من التغييرات ليصلوا في نهاية المطاف إلى التطبيق النهاني. إن هذا القصور في 
التخطيط المسبق المكثف بشكل عام يسمح بكتابة البرمجيات بشكل أسرع بكثير ويجعل 
عملية تغيير المتطلبات أكثر سهولة. يوضح الشكل التوضيحي )-١10(‏ نسخة مبسطة 
لعملية تطوير البرمجيات القائمة على منهجية التطوير السريع [۸۸. 


شكل توضيحي (0١-؟)‏ 


عملية تحليل المتطلبات الخاصة بتطوير النظم. 
ه التحضير لتحليل متطلبات النظم: تعيين أعضاء فريق المشروع وجمع المعلومات الأساسية, متضمنا 
ذلك المجموعات التي قامت بوضع وتحديد هذه المتطلبات وغيرهم من مجموعات ا مستخدمين 





٠‏ تحديد متطلبات الأعمال: تحديد كل المتطلبات سواء كانت داخل النطاق أم خارج النطاق: وتحديد 
وتوثيق قواعد الأعمال المخطط لهاء بالإضافة إلى تحديد الواجهات المحتملة من و إلى التطبيق الجديد. 
٠‏ تحديد نموذج العمليات. تحديد وتخطيط العمليات الرئيسية للأعمال التي ستتعامل مع التطبيق 
الجديد المقترح. ثم تجزئة هذه العمليات إلى وظائف رئيسية وفرعية مكن التحكم بها حتى نصل 
إلى حد لا يمكن فيه تقسيمها أكثر من ذلك. 
٠‏ تحديد نموذج سانات منطقي: قهم ونمذجة السانات بشكل منطقي لدعم التطبيق المقترح. وتحديد 
كيانات التطبيق وعلاقاتها بالكيانات الأخرى» هذا بالإضافة إلى تحديد السمات أو الحقول التي 
٠‏ تحقيق التوافق بين متطلبات الأعمال والنموذج: يجب على فريق المشروع التأكد من أن كلا من 
العملية التي تم تعريفها والنموذج المنطقي للبيانات يستوعب جميع المتطلبات وقواعد العمل. 
٠‏ وضع البلواصفات الوظيفية: لا بد من دمج الواجهات الأمامية والعمليات والبيانات لكي تصف 
بشكل نظامي كيف يمكن للمستخدم المحتمل أن يستخدم النظام وكيف هكن استرجاع ومعالجة 
وتخزين البيانات المرتبطة. 


دليل المسئول التنفيذي لحوكمة تقنية ا معلومات EVV‏ 


الفصل الخامس عشر 


تبدأ عملية التطوير السريع للتطبيقات ۸42 بتطوير النماذج الأولية للبيانات وعمليات 
الأعمال لتتمكن من تحديد المتطلبات الأولية. ويمكن إصدار عينة أو نموذج مبدثي من 
التطبيق باستخدام واحدة من الأدوات البرمجية القوية المتخصصة بإنشاء التقارير هذه 
الأيام. ومن ثم يتم فحص هذا النموذج مقابل المتطلبات اللوجودة حتى يتسنى إدخال 
التحسينات اللازمة على نماذج البيانات والعمليات. هذه المراحل تتكرر بشكل دوري؛ فهناك 
مزيد من مخرجات التطوير موجودة في بيان شامل يجمع متطلبات الأعمال والتصميم 

التقني ليتم استخدامها في بناء نظم جديدة. 
يترتب غالبا على أساليب التطوير السريع للتطبيقات 28871 تقديم تنازلات على مستوى 

الأداء الوظيفي وأداء التطبيق بشكل عام في مقابل تمكين تطوير أسرع وتسهيل صيانة 

التطبيق. تتكون عملية التطوير السريع للنظم من المراحل الأربع التالية: 

-١‏ مرحلة تخطيط المتطلبات في (1847: يجب على تقنية المعلومات في المؤسسة أن تستخدم 
بعض العناصر نفسها الموجودة في مراحل تخطيط وتحليل النظم للعملية التقليدية 
الخاصة بدورة حياة تطوير النظم :5101.0 الموضحة في الشكل التوضيحي .)5-١0(‏ في 
جميع الأحوالء ووفقا لأسلوب التطوير السريع للتطبيقات فإنه يتعين على ال مستخدمين, 
والمديرين» وأعضاء فريق تقنية المعلومات» مناقشة متطلبات الأعمالء ونطاق المشروع 
والقيود. ومتطلبات النظام والموافقة عليها. تنتهي هذه المرحلة عندما يتفق الفريق على 
القضايا الرئيسية والحصول على تصريح من الإدارة بالاستمرار. 


EVA‏ دليل المسئول التنفيذي لحوكمة تقنية المعلومات 


عمليات تنفيذ النظم التطبيقية وحوكمة تقنية المعلومات 


شكل توضيحي )"-1١©(‏ 


عملية تطوير البرمجيات وفقا لأسلوب التطوير السريع للتطبيقات (141 










الانتقال إلى التطبيق 
الجديد 


؟- مرحلة تسم تطبيقات امتخدم في 10خ خ]: في هذه المرحلة يعمل ال مستخدمون مع 
محللي النظم على وضع النماذج والنماذج الأولية التي تمثل جميع عمليات ومدخلات 
ومخرجات النظم. وتقوم عادة المجموعات الرئيسية والفرعية المشاركة في عملية التطوير 
السريع للتطبيقات ۸۸2 باستخدام أدوات تطوير التطبيقات الموجودة في إدارة تقنية 
المعلومات لترجمة احتياجات المستخدم إلى نماذج عمل. وتعد مرحلة تصميم تطبيقات 
ا مستخدم عملية تفاعلية مستمرة فهي تسمح للمستخدمين بفهم وتعديل تموذج العمل 
الخاص بالنظام الذي يلبي جميع احتياجاتهم. 

"- مرحلة البناء: تركز هذه المرحلة على مهام تطوير برامج وتطبيقات مشابهة لعملية دورة 
حياة تطوير النظم ©.5151. وطبقا لنهج التطوير السريع للتطبيقات» فإنه ومن ناحية 


دليل المسئول التنفيذي لحوكمة تقنية المعلومات قلاع 


الفصل الخامس عشر 


أخرى. يستمر المستخدمون في المشاركة واقتراح التعديلات والتحسينات عند التطوير 
الفعلي للشاشات والتقارير. وتتمثل مهام هذه المرحلة في البرمجة وتطوير التطبيقات» 
وكتابة التعليمات البرمجيةء وتكامل الوحدات واختبار النظام. 


-٤‏ مرحلة الانتقال في (1841: تشبه هذه المرحلة الأخيرة المهام الأخيرة الموجودة في تطبيق 
دورة حياة تطوير النظم :5101.0 هما فيها تحويل البيانات والاختبار والتحول إلى النظام 
الجديد وتدريب المستخدمين. وبال مقارنة مع الطرق التقليدية» فإنه يتم ضغط العملية 
برمتها. ونتيجه لذلكء فإنه يتم بناء النظام الجديد وتسليمه ووضعه موضع التشغيل 
بشكل أسرع بكثير. فمهام هذه المرحلة هي تحويل البيانات واختبار النظام بأكمله 
وتحويل النظام وتدريب المستخدمين. 


لقد بدا نهج التطوير السريع للنظم ۸۸2 الخاص بتطوير النظم في الوقت الذي 
بدأت فيه المؤسسات وإدارات تقنية المعلومات التابعة لها في الانتقال من نظم الحاسبات 
المركزية القدهة إلى نظم العميل-الخادم» وذلك أثناء زيادة هيمنة نظم الحاسبات اللحمولة 
والحاسبات المكتبية: والأكثر أهمية من ذلك هو ظهور الإنترنت. وبالعودة إلى أيام دورة حياة 
تطوير نظم 551٥‏ الخاصة بالحاسبات الكبيرة المركزية» فقد عبر العديد من مستخدمي 
تقنية المعلومات داخل المؤسسة وقتها عن استيائهم من عمليات التطوير البطيئه وفشل 
النظم الجديدة واميزانيات المهدرة ومجموعة من المشاكل الأخرى. إن تقديم أدوات 
التطوير السريع للتطبيقات ۸۸2 إلى مستخدمي النظم هؤلاء كان أشبه بالتجلي. فقد 
تمكنوا من إلقاء نظرة سريعة على إصدارات النماذج الأولية لتقارير وحتى عمليات النظم 
ومن ثم استطاعوا المضي قدماً من خلال الإصدار السريع والفعال لنهج التطوير السريع 
للتطبيقات ۸4۸05. 


ونظرا لسهولة استخدامهاء فإن المؤسسات التي تشجع على استخدام أدوات 
التطوير السريع للتطبيقات ۸۸2 قد تجد نفسها في مشاكل تتعلق بالأمن والضوابط 
الداخلية للتطبيقات في حال استخدمت نهج التطوير السريع للتطبيقات ۸۸5 
بشراسة لتطوير التطبيقات الجديدة دون وضع الضوابط الملائمة على التطبيقات 


EAs‏ دليل اللسثول التنفيذي لحوكمة تقشة المعلومات 


عمليات تنفيذ النظم التطبيقية وحوكمة تقنية المعلومات 


الجديدة. الشكل التوضيحي )6-١10(‏ يوجز لنا بعض ضوابط وإجراءات حوكمة تقنية 
المعلومات التي لا بد من وجودها في المحيط الذي تستخدم فيه عمليات التطوير 
السريع للتطبيقات (28.81. 

تقوم العديد من المؤسسات هذه الأيام بتطوير تقاريرها الخاصة بها والتي يتم إنشاؤها 
حسب الطلب لدعم تطبيقات البرمجيات التي تم شراؤها. ويتم اليوم تطوير تطبيقات 
البرمجيات التي يتم شراؤها بصورة شبه دائمة باستخدام أداة خاصة لإنشاء التقارير أو 
باستخدام إحدى أدوات التطوير السريع للتطبيقات الخاصة بهذه البرمجية. ويمكن تطبيق 
أفضل ممارسات حوكمة تقنية المعلومات التي تمت مناقشتها في هذا الفصل على جميع 


هذه الأدوات. 


تخطيط موارد المؤسسة وعملبات حوكمة تقنية المعلومات: 

يتم عادة توظيف أحد قواعد البيانات الشاملة للعمل على أنه مستودع للبيانات» 
حيث تعمل نظم تخطيط موارد المؤسسة (11882) على تكامل المعلومات الإدارية الداخلية 
والخارجية عبر المؤسسة بالكامل حيث تشتمل على نظم الإدارة المالية» وإدارة التصنيع عند 
الحاجة» وإدارة المبيعات والخدمات وإدارة علاقات العملاء وغير ذلك. وتعد نظم 158145 من 
قواعد البيانات المعقدة التي تعمل على أتمته هذا النشاط من خلال تطبيقات البرمجيات 
المتكاملة. حيث إن الغرض من هذه النظم هو تسهيل تدفق ال معلومات بين جميع وحدات 
الأعمال داخل حدود المنظمة وإدارة الاتصالات مع أصحاب المصالح الخارجيين. إذاً فالهدف 
من نظام 81858 هو تحسين وتبسيط العمليات الداخلية للأعمالء والذي يتطلب عادة إعادة 
هندسة العمليات الحالية لتلك الأعمال. 


دلبل المسئول التنفيذي لحوكمة تقنية ا لمعلومات اماع 


الفصل الخامس عشر 


شكل توضيحي (10-£( 
ضوابط وإجراءات حوكمة تقنية المعلومات المتعلقة بالتطوير السريع للتطبيقات (843. 


إن التطوير السريع للتطبيقات (1:41 هو أسلوب لتطوير البرمجيات. حيث يركز على فترات 
زمنية قصيرة للتطوير (من "١‏ إلى 4١‏ يوما). وهذا الأسلوب لا يصلح في تطوير التطبيقات المعقدة 
أو التطبيقات التى تعالج كميات كبيرة من المعاملات بشكل سريع مثل البيئات الخاصة معالجة 
الدفعة. وقد يكون 1 المناسب بالنسبة للمؤسسة أن تستخدم هذا الأسلوب لتطوير أو إعادة تصميم 
التطبيقات ذات المخاطر المنخفضة أو التطبيقات الأقل تعقيدا مثل مواقع الويب (الإنترنت) ذات 
المعاملات التي لا تحتوي على طاقة إنتاجية عالية المستوى غناصطعناهمط]. إضافة إلى ذلك واستنادا 
إلى درجة تحمل المؤسسة للمخاطر وتحديد المهام الحساسة والحرجة للتطبيقء فإنه يتحتم على 
المؤسسة استخدام الضوابط والإجراءات الخاصة بحوكمة تقنية المعلومات لضمان توظيف الأساليب 
المناسبة الخاصة بالتطوير السريع للتطبيقات ۸۸2 أثناء مراحل التصميم والتطوير للتطبيق الجديد 
في تقنية المعلومات ضمن منهجية تطوير مهيكلة. والنقاط التالية توجز بعض الضوايط والإجراءات 
العامة والجيدة في حوكمة تقنية المعلومات: 


٠‏ اختر آداة مناسبة لتوليد تقارير التطبيقات بحيث تكون مرنة وتلبي احتياجات تطبيقات الأعمال. 
كما يتعين على الإدارة ضمان أن أسلوب التطوير الذي تم اختياره مناسب لإدارة تعقيدية ومخاطر 
التطبيقات التي بصدد تطويرها. 


ه ضع قواعد لتقنية المعلومات مثل أنه سيتم فقط استخدام تقنية التطوير السريع للتطبيقات ۸۸0 
التي تمت الموافقة عليها لأغراض التطبيقات الإنتاجية مالم تكن هناك موافقة محددة من الإدارة 
العليا لتقنية ا لمعلومات. 


۾ نشل برامج تدريبية أولية ومستمرة لكادر تقنية المعلومات واللستخدمين ا معنيين تتعلق باستخدام 
الأداة البرمجية التي تم اختيارها للتطوير السريع لتطبيقات [۸۸. 


ه ضع معايير خاصة بإدارة تقنية المعلومات فيما يتعلق بالتطبيقات المطورة خلال عمليات التطوير 
السريع للتطبيقات ۸۸2 والتي تضم المراحل الرسهية للبدءء والتطويرء والتنفيذ. حيث تتطلب 
الفترة الزمنية القصيرة لمشاريع التطوير السريع للتطبيقات ۸42 ضرورة الإسراع في تحديد المتطلبات 
الوظيفية التي يجب أن تبقى إلى حد كبير دون تغيير أثناء عملية التطوير. 





EAY‏ دليل المسئول التنفيذي لحوكمة تقنية امعلومات 


عمليات تنفيذ النظم التطبيقية وحوكمة تقنية المعلومات 


ه حدد أي المستويات المناسبة من العاملين والمستخدمين النهائيين في تقنية ا لمعلومات هم الذين سيتم 
تعيينهم في مشاريع التطوير السريع للتطبيقات لبناء وتعديل التصميمات. أما بالنسبة لمشاريع التطوير 
السريع للتطبيقات الأكبر حجماء فإنه يجب تعيين المتخصصين كمديري قواعد البيانات» وفنيي الشبكات 
ومبرمجي النظم ليكونوا مسؤولين عن القرارات الرئيسية المتعلقة بالتطوير السريع للتطبيقات 847. 

٠‏ لا بد من وجود معايير وضوابط للتطوير السريع للتطبيقات ۸4۸2 ف المؤسسة للتأكد من: 

- أن الإدارات تستخدم أساليب التطوير السريع للتطبيقات ۸۸2 فقط إذا اقتضت الحاجة ذلك . 
- أن الإدارة تشتمل على الخصائص الأمنية والرقابية في جميع التطبيقات المطورة. 
- أن موظفي ضمان الجودة يقومون بفحص ما إذا كانت السمات الأمنية والرقابية (التي تتناسب 


- أن المستخدمين النهائيين يشاركون بشكل مناسب خلال مشروعات التظوير السريع للتطبيقات (141. 


- أن مديري المشروعات يراقبون عن كثب وعن قرب جميع أنشطة المشروع. 

ه قم بتحديد ما إذا كانت جميع التطبيقات التي تم تطويرها باستخدام التطوير السريع للتطبيقات 
قد تم توثيقها بالشكل المناسب أم لاء وأن عملية التوثيق قد تمت بالتوازي مع عملية تطوير 
التطبيق. ومن خلال الإنتاج المتزامن للوثائق ودون زيادة الوقت المخصص لتطوير التطبيقء فإن 
التطبيقات المطورة بتقنية التطوير السريع للتطبيقات ۸۸2 ستسهم في توفير الوقت أثناء عمليات 
الصيانة المستقبلية للنظام. 


* قم بوضع مبادئ صارمة فيما يخص قواعد التسمية أو كتابة الجمل البرمجية بحيث يتمكن مطور 
تطبيقات (141 بشكل شبه دائم من فهم نص شيفرة المصدر عله عع#ناه5 الخاصة ممولد 
التطبيقات الذي يتم توليده من قبل أحد محترفي التطوير السريع للتطبيقات (141 أو غيره من 
محترف تقنية المعلومات. 





يمكننا التأمل في وظائف نظام 151827 من خلال عملية التصنيع» حيث يحتاج أحد أجزاء 
ا منتج إلى تصميمء وطلب الوارد اللازمة لبناء هذا الجزء: ووضع العمليات الخاصة بحساب 
تكلفة وتسويق هذا الجزء. حيث يتم تنفيذ طلبات شراء الموادء وتبدأ عملية الإنتاج» ومن 
ثم يأ دور التدفق الكلي لعمليات الإنتاج والعمليات التشغيلية فيما يتعلق باستقبال أوامر 
الشراء من العميلء والشحن:ء وإصدار الفواتير الخاصة بهذا العنصر. إن هذه العمليات 
وغيرها تنطوي على سلسة من أنشطة مستقلة إلا أنها مرتبطة فيما بينها بعلاقات متبادلة: 


دليل المسئول التنفيذي لحوكمة تقنية المعلومات جاع 
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حيث كانت تدار في السابق عن طريق مجموعة منفصلة من تطبيقات تقنية المعلومات 
مثل التطبيقات الخاصة بتلقي الطلبات ومراقبة المخزون وجدولة الإنتاج والشحن وحساب 
المقبوضات وغيرها الكثير. في حين يقوم نظام 8118 بربط جميع هذه الأنشطة وأكثر في 
سلسلة مترابطة بإحكام من وظائف قاعدة البيانات. 

يحاول نظام ۳۸۲ أن يعمل على تكامل كل الأقسام والإدارات في الشركة ليضعها في نظام 
حاسب آلي واحد يمكنه خدمة وتلبية الاحتياجات الخاصة بجميع الأقسام التابعة لها. وقد 
يكون هذا أمراً صعباء أن يتم بناء نظام برمجي واحد يلبي حاجات الناس في الأمور المالية 
بالإضافة إلى الموارد البشرية والمستودعات. فقبل ظهور نظام 8117: عادة ما كان لكل قسم 
من هذه الأقسام نظام حاسب آلي خاص به مُطور بوسائل خاصة بحيث يستطيع القسم أن 
يقوم بأداء الأعمال الخاصة به إلا أن نظام E۸۶‏ قد قام بدمج هذه النظم جميعا في نظام 
برمجي واحد متكامل يدار من قبل قاعدة بيانات واحدةء بحيث يسمح للأقسام ا مختلقة 
بمشاركة المعلومات والاتصال فيما بينهم بسهولة. قد يكون لهذا النهج التكاماي مردود 
واسع إذا ما قامت الشركات بتثبيت البرمجية بشكل سليم. 

يوجد العديد من الطرق لوصف نظام 8188. إلا أن الشكل التوضيحي )0-١10(‏ يعرض 
تناوضفا لتدقق الببانات للعاسيية الأماسية الخاصة باغمال إعدى السات ومن 
أوامر الشراء وحساب المدفوعات وغيرها من العمليات التقليدية لنظم الأعمال التي ستكون 
جزءا من نظام 888. هذه العناصر تعد من متطلبات النظم اللازمة لبناء أحد أجزاء 
عملية التصنيع والتي تم وصفها مسبقا. فقد كانت هذه العناصر عبارة عن عمليات نظم 
تقليدية منفصلة لكل منها بيانات وملفات معاملات رئيسية خاصة بهاء وتستطيع الاتصال 
بتطبيقات أخرى كنظام الأستاذ العام. وعلى الرغم من أن هذا الشكل يعرض سلسلة 
من عمليات توزيع الإنتاج كالوظائف التقليدية لحساب المقبوضات» وحساب المدفوعات» 
فإن التطبيق الكامل لنظام 8127 الخاص بالمؤسسة يحتوى على مجموعة أكبر بكثير من 
النظم الأخرى كالتسويق والموارد البشرية؛ إذ يتم ربط جميع النظم معا بإحكام من خلال 
توصيفات وروابط مشتركة للبيانات. 


EAE‏ دليل المسئول التنفيذي لحوكمة تقنية المعلومات 


عمليات تنفيذ النظم التطبيقية وحوكمة تقنية المعلومات 


شكل توضيحي )٥-۱٥(‏ 
مثال على بنية نظام تخطيط موارد المؤسسة 15:87 
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الفصل الخامس عشر 


قد يتساءل المدير الأول عن سبب تأخير وصول معلومات شكاوى العملاء القادمة من 
نظام مرتجعات المنتجات. وقد يحتج أعضاء آخرون في الكادر الوظيفي من أنه يجب عليهم 
إعادة إدخال المعاملات نفسها في تطبيقات مختلفة ولكنها مترابطة. في أغلب الأحيان يبدو 
أن قاعدة البيانات المدمجة المشتركة - نظام 8128 - هي الحل الأسهل هنا. من ناحية 
أخرىء فإن عملية تطبيق نظام E۸۴‏ ليس بالخطوة السهلة أو الصغيرة. حتى في أحسن 
الظروف فإن هذا النظام سيستهلك كميات كبيرة من وقت وموارد المؤسسة. كما يجب أن 
يكون هناك مشاركة فعالة من المديرين الرئيسيين وأعضاء فريق تقنية اللعلومات وحتى 

أصحاب المضلحة الآخرين. 
من منظور حوكمة تقنية المعلومات فإنه يوجد نقاط رئيسية يجب أن يتم أخذها في 

الاعتبار عند تطبيق نظام قاعدة بيانات 8118 في المؤسسة: وهي: 

٠‏ تحديد أهداف ومتطلبات نظام 5185: يعتبر هذا المفهوم جديدا نسبيا في نظم تقنية 
المعلومات: إذ هناك الكثير من الدعاية المنشورة حول ما مكن أن تحققه قواعد البيانات 
الشاملة لنظام تخطيط الموارد المؤسسية. فضلا عن أنه بالاستناد إلى المعرفة التي لديهم 
فيما يمكن أن تحققه قواعد البيانات الشاملة لنظام تخطيط الموارد ا مؤسسية»ء يجب على 
المبادرين في المشروع وضع أهداف ومتطلبات قوية للمشروع الجديد الخاص بتطبيق 
نظام تخطيط اللموارد المؤسسية 8182. 

٠‏ بناء فريق المشروع من جميع الإدارات: إن قاعدة البيانات الخاصة بتخطيط موارد 
المؤسسة تعد أكثر من مجرد نظام جديد ف تقنية المعلومات» وإنما ينطوي تحته العديد 
من أعضاء المؤسسة. لذا يجب تعيين فريق من جميع الوظائف المختلفة لتقنية 
المعلومات وأعضاء من مجتمع المستخدمين لقيادة المشروع القادم والخاص بتخطيط 
اللوارة ايلؤسسة: 

٠‏ تقدير متطلبات التكلفة والوقت اللازمة لتطبيق نظام 5187: بالنسبة للمؤسسة المكونة 
من وحدة أعمال واحدة فقط ويعمل بها ما بين ۲٠‏ إلى ٠٠٠١‏ موظفء قد تحتاج إلى 
حزمة أصغر من برمجية قاعدة بيانات E۸۴‏ تكلف نحو ۲٠۰۰۰۰‏ دولار أمريي. في 
حين أن المؤسسات الكبيرة المتعددة وحدات الأعمال ويعمل بها عدد من المستخدمين 
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عمليات تنفيذ النظم التطبيقية وحوكمة تقنية المعلومات 


قد يصل إلى 0٠٠١‏ مستخدم» رها يكلف البرنامج الأساسي لنظام 8187 نحو مليوني 
دولار أمريكي. كما يجب على المؤسسة أن تضع توقعات حقيقية وواقعية لمتطلبات 
الوقت اللازم لهذا المستوى من المشروع: وأن يفترضوا أن مثل هذا المشروع الكبير لتقنية 
المعلومات يحتاج إلى سنة واحدة على الأقل. 

٠‏ اختيار أحد المنتجات البرمجية لنظام :۴E۸۶‏ هناك عدد كبير من الباعة يقدمون برنامج 
نظام تخطيط الموارد المؤسسية 812. فهناك مزودو برمجيات رئيسيون أمثال ساب 
محرى أوراكل 6اع018. وميكروسوفت 211105016. هذا بالإضافة إلى بعض الباعة الأقل 
شهرة مثل إيبيكور 1601م8. ولتجنب سلسلة الاجتماعات أو اللقاءات اللانهائية مع 
البانعين والمواد الترويجية اللامعة: فإنه يجب على الفريق المنوط به عملية الاختيار 
الوقوف بحزم على الأهداف المحددة للمتطلبات والميزانية وعلى البيئة البرمجية الحالية 
للمؤسسة كذلك. ويتعين على أي بائع لمنتج برنامج 887 قابل للتطبيق أن يكون قادرا 
على تقديم نسخة تجريبية تمثل منتج 8127 الخاص بهم. 

٠‏ تطبيق أساليب منهجية لإدارة المشاريع لتطبيق نظام 8188: يتحدث الفصل السادس 
عشر من هذا الكتاب عن تقنيات التخطيط الرسمية للمشاريع والبرامج. ونظرا لأن 
تطبيق نظام E۸۴‏ يعتبر مهمة كبيرة» فإنه يجب على المؤسسة أن تضع وتتبع منهجيات 
رسمية لتخطيط المشاريع من أجل تطبيق نظام E۸۴‏ الذي نسعى إليه. 

٠‏ إنشاء قاعدة بيانات تجريبية لنظام E۸۶‏ والبدء في التنفيذ المرحلي: بمجرد أن يعمل 
تطبيق 8112 في المؤسسة على أكمل وجه فإنه سيؤثر في عدد كبير من التطبيقات 
التقليدية. على كل حال» يجب الحرص على إطلاق التطبيق المرحلي على أساس تطبيق 
بعد الآخرء وذلك باستخدام قاعدة بيانات تجريبية أعدت في مراحل سابقة للمشروع. 

٠‏ تقديم تدريب مكثف للمستخدمين: قد ينطوي التطبيق الجديد لنظام 2188 على أشكال 
جديدة للمعاملات وغيرها من التغيرات التي تطرأ على النظم والتي تكون في بعض 
الأحيان صغيرة لكنها فنية. وفي جزء من خطة المشروع وفي إحدى مسئوليات أعضاء 
فريق تطبيق نظام 5۸۶۳ء يجب أن يكون هناك برنامج تدريبي قوي للمستخدمين. 
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٠‏ إقرار ميزانيات المشرع ومراقبة حثيثة لتكاليف نظام 887: بعيداً عن رسوم الترخيص 
الخاصة بقاعدة البيانات التي تم اختيارهاء فإن مشروع نظام 819 يعد من المشاريع 
الباهظة الثمن بالنسبة للمؤسسة. لذا يُطلب من أعضاء فريق المشروع وغيرهم من 
الأشخاص المشاركين في هذا العمل أن يقوموا بتسجيل عدد ساعات العمل الخاصة بهم 
فضلا عن تحميل أي مصروفات مباشرة على مشروع نظام 5۸۶. ولابد من مراقبة هذه 
المصروفات التي يتم تحميلها على المشروع ويتم المطالبة بها عن كثب والمساءلة بشأنها 
إذا اقتضى الأمر. في جميع الأحوال: ولعل أحد نقاط القلق الرئيسية بالنسبة لحوكمة 
تقنية المعلومات: والتي رها تكون بمثابة مشكلة في بعض الأحيان عندما يقوم أعضاء 
الفريق بتحميل ساعات عملهم على المشروع حتى لو لم يقوموا بالفعل بتنفيذ أنشطة 
مرتبطه مباشرة بالمشروع. 

5187 وضع إستراتيجية للخروج إذا اقتضت الضرورة ذلك: يمكن أن يسفر تطبيق نظام‎ ٠ 
الذي تم تخطيطه وتنفيذه بشكل جيد عن بعض امزايا الرئيسية الملموسة وغير الملموسة‎ 
بالنسبة للمؤسسة. إلا أنه في بعض الأحيان قد تكون هناك أمور تسير على نحو خاطئ.‎ 
على سبيل المثال. بعض سمات البرمجيات الخاصة ببائعي قاعدة بيانات 8872 قد لا‎ 
تعمل كما تم التعهد به أو كما كان متوقعا. فقد يكون هناك مشاكل تقنية في شاشات‎ 
النظم أو آي مجموعة أخرى من المشاكل المحتملة. فكما يقول التعبير القديم» لا تهدر‎ 
امال الصالح في إصلاح ما تلفء فإنه يجب على فريق العمل أن يضع إستراتيجية خروج‎ 
ليُنهي أعمال المشروع بشكل لطيف والعودة إلى العمليات التشغيلية التقليدية لتقنية‎ 
المعلومات والأعمال.‎ 
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شكل توضيحي )5-١10(‏ 


ا مزايا الملموسة وغير الملموسة الناتجة عن تطبيقات نظام 81278 في المؤسسة. 


المزايا الملموسة لنظام 58187: 

٠‏ تخفيضات ال مخزون. 

٠‏ تقليص أعداد الموظفين. 

« تحسينات في إدارة النظام. 

اتيسبظ الروابظ. 

ه تحسينات ف دورة الإقفال المالي. 

٠‏ تخفيض تكاليف تقنية المعلومات. 

٠‏ تقليص تكلفة المشتريات. 

ه تحسينات في الإدارة النقدية. 

٠‏ تقليل صيانة تقنية المعلومات والنظم. 
نظم محسنة تسلم في الوقت اللحدد. 
المزايا غير الملموسة لنظام 58187: 

٠‏ وصول ورؤية أكبر لمعلومات النظم. 


٠.‏ عمليات محسنة جد بدلة. 


ه استجابات أكبر للعملاء. 


5 توحيد النظم و ١‏ لعمليات. 





بالرغم من التصريحات التحذيرية السابقة. فإن التطبيق الناجح لنظام 8188 قد يعود 
على المؤسسة ببعض المزايا الملموسة وغير الملموسة. كما هو موضح في الشكل التوضيحي 
(1-10). کن أن يكون تطبيق نظام 81:8 أحد المشروعات الكبيرة في المؤسسة والذي يمكن 
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أن يعود عليها بالعديد من الفوائد. وكما ناقشنا أهمية العمليات القوية لحوكمة تقنية 
المعلومات بالنسبة لكل من عمليات دورة حياة تطوير النظم 51٣‏ وعمليات التطوير 
السريع للتطبيقات ۸42 فإن هذه القضايا تعد غاية في الأهمية عندما نقوم بإطلاق نظام 
قاعدة يانات تخطيط الوارد المؤسسية 181828 داخل الطؤسسة. 


موه فلل المسئول التنفيذي لحوكمة تقنية المعلومات 


الفصل السادس عشر 
قضايا حوكمة تقنية المعلومات: إدارة المشاريع والبرامج 


على الرغم من استخدام المؤسسات للهياكل التنظيمية الرسمية من أجل إدارة معظم 
الأنشطة الخاصة بهاء فإن هناك مجموعة كبيرة من أنشطة المؤسسة التي يتم تنظيمها 
وإدارتها على شكل مشاريع. ويُستخدم مصطلح المشروع في الأنشطة العلمية» والحكومية 
وحتى في الأنشطة المدرسية؛ وهو عبارة عن نشاط تعاوني يتم داخل المؤسسة ويشتمل على 
نشاطات كالأبحاث أو تطوير نظم تقنية المعلومات. ويتم تخطيط المشاريع بشكل خاض 

من أجل تحقيق هدف معن على خلاف الأنشطة الاعتيادية للمؤسسة. تق المشاريع 
عاذة نان لها سكلا ظا مقا ولس دانا. وهي تتكون من فرق من داخل أو خارج 
الإدارات لإنجاز مهام محددة في أوقات محددة. 


يتم تنظيم وإدارة العديد من أعمال تطوير نظم تقنية المعلومات على هيئة مشاريع.: 
فعندما تبدأ المؤسسة أو وحدة تقنية المعلومات التابعة لها في سلسلة من المشاريع المختلفة 
وفي الوقت نفسه يوجد بينها أوجه تشابه» فإن هذه المجموعات من المشاريع يطلق عليها 
اسم برامج 220813725. وفي أغلب الأحيان تعد المشاريع والبرامج وسائل فعالة لإدارة 
وتطبيق التغييرات التي تطرأ على نظم وعمليات تقنية ال معلومات» إلا أنها قد تتسبب أيضا 
في وجود بعض المشاكل المتعلقة بالحوكمة والرقابةء وذلك لكونها مجهودات تتخطى عادة 
الحدود التنظيمية الاعتيادية. فهي تحتاج إلى آليات خاصة لمتابعة وضبط المشاريع. 

سيتناول هذا الفصل التقنيات الفعالة لإدارة المشاريع والبرامج بهدف تحسين الحوكمة 
الشاملة لتقنية المعلومات. وسنقوم بتقديم المعايير الخاصة بالدليل المعرفي لإدارة المشاريع 
Project Management Book of Knowledge (PMBOK)‏ الصادرة عن معهد ادارة 
المشاريع Project Management Institute (PMI) (www.pmi.org)‏ كما سنناقش 
أيضاء اذا يعد الامتثال لهذه ال معايير من الأمور الهامة بالنسبة للإدارة الفعالة للمشاريع 
والبرامج؟ 


دلبل المسئول التنفيذي لحوكمة تقنية المعلومات E۹1‏ 


الفصل الساذ اس عشر 


عملية إدارة المشاريع: 
يشم استخدام مصطلح المشروع غالبا غلى نخو غير سليم هذة الأيام ف العديد من 
اللات افق هة الخاصة فة المعلومات وغرها عن الأعمال الؤسسة: قدا ها 
يطلب من مطوري تطبيقات تقنية المعلومات أو غيرهم من الأشخاص العاملين في مجالات 
اة ذاغل اة أن يقوموا بإعداد مشروع لتنفيذ بعض الأعمال المحددة. وكان 
المقصود من الجهود الخاصة بإعداد مثل هذا المشروع والتخطيط له تخصيص أشياء 
مختلفة لأشخاص مختلفين. وتقتضي هذه الجهود غالبا قيام القائد المعين باستدعاء الفريق 
المكلف بال مشروع للاجتماع وعمل ما هو أكثر بقليل من مجرد قولء "أريدك أنت وأنت 
وأنت" لتنفيذ مهام المشروع المختلفة. وم تكن الخطوات الضرورية اللازمة لتنظيم المشروع 
والتخطيط له تحظى بالاهتمام الكافي. ولهذا كانت هذه الجهود غير و "للمشروع" 
تؤول غالبا إلى الفشل بسبب عدم فهم الفريق المكلف بالمشروع لحقيقة الدور المنوط به 
وعدم إلمامه بالأهداف العامة للمشروع: هذا بالإضافة إلى أن المتطلبات الخاصة بوقت 
ونطاق المشروع لم تكن محددة. وقد أدت هذه الجهود في كثير من الأحيان إلى فشل 
المشاريع يسبب تجاوز الوقت والميزانية أو للعديد من الأسباب الأخرى. كان سبب هذا 
الإخفاق غالبا هو الافتقار إلى نهج منظم ومتناغم لإدارة المشاريع. 
وقد استمرت إدارة ال مشاريع في كونها مجرد مفهوم تم تعريفه بشكل ضعيف وغير واضح 
حتى منتصف تسعينيات القرن الماضي. فعلى الرغم من وجود العديد من الأساليب الجيدة 
ا معمول بها في ذلك الوقت قي مشاريع البنية التحتية كبناء الجسور على الطرق السريعةء فإن 
تلك الحقبة قد شهدت العديد من الإخفاقات في تطوير نظم تقنية المعلومات. باستثناء بعض 
الأساليب التي كانت تقودها الولايات المتحدة الأمريكية لتحسين تلك المشاريع الخاصة بتطوير 
تقنية ا معلومات. حيث مم يكن هناك نهج ثابت لإدارة ا لمشاريع عان مدق عدة ستقات. إلا أن 
الأمور قد تغيرت عندما تم اس معهد إدارة المشاريع 201/11: والذي بدأ مجموعة صغيرة من 
مهنيين المتخصصين الأمريكيين الذين يبحثون عن تعريف أكثر انسجاما مع أعمالهم. واعتباراً 
من عام ۲١٠۲‏ أصبح معهد إدارة المشاريع 2011 منظمة مهنية دولية تضم في عضويتها نحو 
۰ شخص بين عضو ومدير مشاريع معتمد من قبل المعهد في 180 دولة. وقد قام معهد 
إدارة ارة المشاريح 2111 ببحث وتطوير ونشر مجموعة كبيرة من المواد الإرشادية المتعلقة بإدارة 
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المشاريع. ومن أهم المطبوعات الصادرة عن هذا المعهد الوثيقة الأشبه بالمعايير والتي أطلق 
عليها كتاب الدليل المعرفي لإدارة المشاريع 2218016 ''. وهو بمثابة دليل لجميع الجوانب 
الخاصة بإدارة المشاريع. وقد أصبح الدليل المعرفي لإدارة المشاريع 2318016 أحد المعايير 
ا مهنية للممارسات الخاصة بإدارة المشاريع في جميع أنحاء العاط. 


يعرض الشكل التوضيحي )١-٠١(‏ تعريف المشروع طبقا للدليل المعرفي لإدارة المشاريع 
.PMBOK‏ وعاى الرغم من أن هذا الدليل يتسم إلى حد ما بالإسهاب وربما يكون عاما 
وشاملا فقط للإرشادات المتعلقة بحوكمة تقنية ا معلوماتء فإنه قام بتعريف المشروع على 
أنه جهد مؤقت له تاريخ بداية ونهاية معلوم وأهداف وغايات محددة. وتتخطى المشاريع 
غالباً الحدود التنظيمية الاعتيادية وتعمل بشكل منفصل نوعاً ماء أو خارج الإطار الطبيعي 
لإجراءات الإدارة أو المؤسسة. وقد يتم تخصيص فريق للمشروع مكون من أشخاص ينتمون 
إلى وحدات تنظيمية مختلفة في المؤسسة:» ويتم تقديم التقارير على أساس الخط النقطي (نمط 
العلاقة الضعيفة بين الموظف ورئيسه) لمدير مشروع مستقل. في بعض الأحيان. قد يعمل 
فريق عمل المشروع بدوام جزني في المشروع مع استمرار تحملهم لمسؤولياتهم تجاه وظائفهم 
الاعتيادية. ونظرا لأن أنشطة المشروع تتخطى غالبا الحدود التنظيمية ويتم تشغيلها كأعمال 
منفصلة ومستقلةء ومن ثم قد تكون هناك مشاكل تتعلق بقضايا حوكمة تقنية ا معلومات ما 
م تكن هناك معايير قويه ومتسقة معمول بها لإدارة المشاريع. 

إضافة للإرشادات الخاصة بالدليل المعرفي لإدارة المشاريع والتي تتحدث عن المشاريع 
المستقلة القائمة بذاتهاء فإن لدى معهد إدارة المشاريع 2311 أيضا المزيد من المواد الإرشادية 
والتوجيهية الخاصة بإدارة البرامج والمحافظ. وسيتم الحديث عنها في الأقساء اللاحقة. 
حيث تشير إدارة البرامج بشكل عام إلى سلسلة من ال مشاريع ال مرتبطة ببعضها. في حين 
تغل إدارة أجاف معان خاضة مجموعة انارت والبرافج ذاهل المؤيسة. كما أن 
لدى معهد إدارة المشاريع 120311 أيضا برنامج الشهادة الاحترافية لمديري المشاريع» حيث يتم 
اعتماد الأعضاء الذين يجتازون الاختبارات المهنية لهذا البرنامج بنجاح ويحققون متطلبات 
الخبرة كمدير مشروعات محترف .Project Management Professional (PMP)‏ وقد 
أصبح معهد إدارة المشاريع 23/11 والدليل المعرفي لإدارة المشاريع 2318012 الصادر عنه 
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من المعايير العملية بالنسبة للعديد من أنشطة إدارة المشاريع في المؤسسات سواء في 
الولايات المتحدة الأمريكية آم في جميع أنحاء العام. 
شكل توضيحي )١1-١5(‏ 
تعريف المشروع وفقاً للدليل المعرفي لإدارة المشاريع 5111801 
اتروع ع دعسم وق pa‏ ريدي ل عير عقي O EE‏ 
نوعها. تشر الطبيعة ال مؤقتة للمشاريع إلى وجود بداية ونهاية واضحة. ويتم الوصول إلى النهاية 
عندما تتحقق جميع أهداف المشروع أو عندما يتم إنهاء المشروع بسبب عدم إمكانية تحقيق أهداف 
المشروع أو عندما لا يعود هناك حاجة إلى المشروع. وليس بالضرورة أن تشير كلمة مؤقت إلى فترات 
زمنية قصيرة. وعموماً فإن كلمة مؤقت لا تنطبق على ال منتج أو الخدمة أو النتيجة التي حصلنا عليها 
من المشروع. ويتم القيام بمعظم ال مشاريع لخلق نتائج دائمة. على سبيل ال مثال» مشروع بناء تمثال 
أو نصب تذكاري وطني يؤدي إلى نتيجة من المتوقع أن تدوم لعدة قرون. وقد يكون للمشاريع أيضا 
آثار اجتماعية واقتصادية وبيئية قد تدوم أكثر بكثير من المشاريع نفسها. 
كما أن كل مشروع يعمل على إيجاد منتج أو خدمة أو نتيجة فريدة من نوعها. وعلى الرغم من 
احتمالية وجود عناصر مكررة في بعض مخرجات المشاريع: فإن هذا التكرار لا يغير سمة التفرد الأساسية 
لعمل المشروع. على سبيل اللثال؛ يتم تشييد اطباني المكتبية من المواد نفسها أو من مواد شبيهة وعن طريق 
الفريق نفسه. إلا أن كل موقع يختلف ويمتاز عن غيره في التصميم أو الظروف أو المقاولين أو غير ذلك. 
إن جهود العمل المستمرة بشكل عام عبارة عن عملية متكررة: ذلك لأنه يسير وفق إجراءات 
تنظيمية قائمة. وعلى النقيض من ذلكء فإنه نظرا للطبيعة الفريدة للمشاريع» قد تحوم شكوك 
حول المنتجات أو الخدمات أو النتائج التي يوجذها المشروع. فقد تكون مهام المشروع جديدة 
بالنسبة لأعضاء فريق المشروع: الأمر الذي خلس مقطا أكثر تفانيا من غيرها من الأعمال الروتينية. 
بالإضافة إلى ذلك» فإنه يتم تنفيذ المشاريع على جميع ال مستويات التنظيمية. وقد يشما ال مشروع 
شخصا واحندا أو وحدة تنظيمية واحدة أو وحدات تنظيمية متعددة. 


يستطيع ال مشروع إيجاد: 

٠‏ منتج مکن أن يكون أحد مكونات عنصر ما أو عقا انا بهد ذاته. 

٠‏ القدرة على أداء خدمة (على أنها إحدى إدارات الأعمال التي تدعم الإنتاج أو التوزيع). 

« أو نتيجة مخرج أو وثيقة (على سبيل ال مثال» أحد المشاريع البحثية التي تُستخدم لتحديد ما إذا 
كان هناك توجه معين أو عملية جديدة سوف تفيد الجته 





€ دليل المسئول التنفيذي لحوكمة تقنية المعلومات 


قضايا حوكمة تقنية المعلومات: إدارة المشاريع والبرامج 


تقدم الأقسام التالية مقدمة عامة عن الدليل ا معرفي لإدارة المشاريع )۲180 وأهميته 
باعتبارها أسلوبا أساسيا للتطوير وإدارة المشاريع. لسنا هنا بصدد تقديم وصف تفصيلي 
لعايير الدليل ال معرفي لإدارة المشاريع 218016: بل تقدهها باعتبارها إحدى الأدوات 
الهامة لحوكمة تقنية المعلومات الخاصة بإدارة المشاريع في المؤسسة. عندما تقوم إدارة 
تقنية المعلومات في المؤسسة باستخدام تقنيات إدارة المشاريع لتطوير تطبيقات جديدة أو 
غيرها من عمليات النظم » فلابد أن يتم هذا التطوير اا أحد الأساليب المعتمدة في 
إدارة المشاريع مثل 23180016 الخاص بمعهد إدارة المشاريع أ و برنس" 2111110112 وهو 
ایشا أسلوب آخر هام 78 سنتحدث عنه في الأقسام اللاحقة. 


معايير الدليل المعرفي لإدارة المشاريع )80 :M‏ 

إن البحث بواسطة شبكة الإنترنت عن موضوع إدارة المشاريع سينتج عنه آلاف 
المواضيع التي تتناول جميع القضايا والاختلافات المتعلقة بإدارة المشاريع. أفضل تلك 
ا أو المواضيع الموجودة هذه الأيام هي التي تستند إلى الدليل المعرفي لإدارة المشاريع 
56 الصادر عن معهد إدارة المشاريع 2811 والذي يعد تقريباً الأسلوب الفعلي 
والحقيقي الذي يصف جميع جوانب إدارة المشاريع. ونحن هنا بصدد قدي نبذة عامة 
عن عمليات الدليل المعرفي لإدارة المشاريع 2318016 مع التركيز على أن يعرف كيف يمكن 
أن يكون هذا الدليل فقيدا لتحسين وتعزيز وظائف حوكمة تقنية المعلومات للأنش طة 
الخاصة بإدارة المشاريع. 

لقد تم تحديث معايير الدليل المعرفي لإدارة المشاريع بشكل منتظم» بحيث كانت تعتمد 
كل مجموعة جديدة من المواد الإرشادية على الإصدارات السابقة. تم إطلاق الإصدار الرابع 
للدليل المعرفي لإدارة المشاريع في عام .۲٠١۸‏ والذي يُعَرّف إدارة المشاريع على أنها خمس 
مجموعات من العمليات الأساسية وتسعة مجالات معرفةء وهي تعتبر عناصر في جميع 
المشاريع تقريبا. ويمكن تطبيقها على المشاريع والبرامج والمحافظ وعمليات التشغيل. وقد 
أصبحت هذه المفاهيم بمثابة إطار عمل بالنسبة لإطلاق وتنفيذ المشاريع بفاعلية سواء 
كانت مشاريع تقنية معلومات أو غيرها. المجموعات الخمس من العمليات الأساسية لإدارة 
المشاريع وفقا للدليل المعرفي لإدارة المشاريع 2118016 هي: 
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-١‏ البدء: لا بد من وجود عمليات رسمية معمول بها لإطلاق آي مشروع. وتتضمن هذه 
العمليات وصف أهداف المشروع واطميزانية المتوقعة والموافقات المناسبة. ويعد ذلك 
أحد المطالب الهامة لحوكمة تقنية الملعلومات. 

'- التخطيط: كل مشروع بحاجة إلى تخطيط من حيث تقديرات الوقت واللوارد المطلوبة 
بالإضافة إلى الروابط بين المكونات والمشاريع الأخرى التي تحتاج إلى تنسيق. عملية 
التخطيط للمشروع لها أهمية خاصة نظراً لأن معظم المشاريع يتم تنظيمها وبناؤها 
خارج الحدود التنظيمية. ويشكل لها فرق عمل مكونة من موارد متعددة من الموارد 
البشرية التي تعمل بدوام جزني لبناء عناصر المشاريع. 

*- التنفيذ: تحدد هذه االمجموعة من العمليات الأساسية الخاصة بالدليل المعرفي لإدارة المشاريع 
النشاطات الفعلية للمشروع. أي ما الاحتياجات التى يجب الوفاء بها لتحقيق أهداف 
المشروع؟ من وجهة النظر الخاصة بتقنية المعلومات» فقد تمتد هذه النشاطات من البحث 
عن أدوات برمجية مناسبة إلى تفصيل برمجيات تتناسب مع متطلبات المستخدمين ومن ثم 
تنفيذ المشروع بعد إتمام عمليات اختبار الضوابط الداخلية المناسبة وتدريب المستخدمين. 


ع- التحكم: وهو أحد المكونات الهامة في الحوكمة الشاملة لأنشطة المشروع. إذ لا بد من 
وجود عمليات معتمدة ومعمول بها لمراقبة إتمام العناصر الأساسية في المشروع والتي 
تعمل على تحديد ما إذا كانت الميزانيات والغايات قد تم تحقيقها آم لا. 

-٥‏ الإغلاق: تتطلب العملية الأخيرة إغلاق أعمال المشروع: ليأتي بعد ذلك تسليم مكونات 
المشروع وتلخيص نتائج المشروع وتقديم تقارير بها. وبالعودة إلى تعريفنا الرئيسي 
للمشروع: فإن العمل أو المسعى لا بد أن يكون له نهاية محددة يمكن أن يتم فيها 
تلخيص نتائج المشروع وأي خطوات تالية تم التخطيط لها للقيام بها مستقبلا باستثناء 
الجهود المستقلة للمشروع. 
يقوم الدليل المعرفي لإدارة المشاريع )۴180 بتوفيق أو مقابلة كل من هذه العمليات 

الخمس لإدارة المشاريع مع تسعة مجالات معرفة لإدارة المشاريع من حيث مدخلاتها 

ومخرجاتها بالإضافة إلى الأدوات والأساليب. حيث تتضمن مدخلات المشروع الوثائق 
والخطط والموارد اللازمة لإطلاق المشروع مع المخرجات المخطط لهاء وبطبيعة الحال مواد 
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المشروع المكتمل. للانتقال من المدخلات الأولية للمشروع إلى المنتج النهائي الذي تم إنجازه؛ 
هناك حاجة ماسة لمجموعة واسعة من الأدوات والآليات الضرورية. فمشروع بناء منزل 
على سبيل المثالء سيكون بحاجة إلى خشب وخطة ولوازم أخرى كالمسامير ومواد التسقيف 
كمدخلات للمشروع. وتعتبر أيضا المطرقة والمنشار ومعرفة التجارة من الأدوات الضرورية 
للبدء في البناء. وستكون نتيجة المشروع في هذا المثال البسيط هي المنزل الذي اكتمل بناؤه. 

هناك ما هو أكثر تعقيداً بكثير من مجرد الحاجة إلى خشب أو مطرقة أو مسامير. فإطلاق 
العديد من مشاريع تنفيذ نظم تقنية المعلومات يتطلب تصريحا واضحاً وصارماً بالأهدافء 
وخطة تفصيلية للمشروع» وخطط موارد. وخطط اختبارء والعديد من المواصفات التفصيلية 
الأخرى. كما يحتاج فريق تقنية ا لمعلومات المخصص لبناء المشروع إلى فهم مجالات الاهتمام 
الخاصة بال مشروع؛ وآدوات كنظم الأجهزة المحمولة لتنفيذ وبناء وإطلاق عناصر ومكونات 
ا مشروع وكذلك أخصائيين على معرفة ودراية كافية في تقنية المعلومات لبناء وفحصض وتلعيت 
الأعمال. من عدة نواح. فإن بناء هکل منزل قط خض وعد دوعا ا نظا 
نسبيا مقارنة بالعديدٌ من الأعمال الخاصة بالتطبيقات والبنية التحتية لتقنية المعلومات. 
فمعظم المشاريع التي يتم إطلاقها من قبل المؤسسات على اختلاف أنواعها تكون معقدة. 
وهذا التعقيد هو ما يضطرنا إلى اللجوء إلى معهد إدارة المشاريع 2311 ومعايير أفضل 
ا ممارسات الموجودة في الدليل ال معرفي لإدارة المشاريع “2721801 الصادر عنه. فقبل ظهور 
هذه المعايير» كانت المؤسسات ف أغلب الأحيان تقوم بإطلاق الأعمال الرئيسية للمشروع 
دون أن يكون هناك تحضير واستعداد كاف. وكانت النتائج في الغالب عبارة عن تكاليف 
باهظة وتجاوزات في الوقت بالإضافة إلى الإخفاقات حتى في إتمام المشاريع. وقد كان 
لدى العديد من المشاريع التي لا علاقة لها بتقنية المعلومات المشاكل المؤسسية نفسها. 
فجميعها تفتقر إلى الأساليب الشاملة والمتسقة في إدارة المشاريع. 

وقد عَرّف الدليل المعرفي لإدارة المشاريع 2318016 عملية إدارة المشاريع على أنها عملية 
تحدث بطريقة متناغمة وخاضعة للرقابة على نحو جيد. وبالإضافة إلى مجموعة عمليات 
إدارة المشاريع الخمس الأساسيةء فقد حدد الدليل المعرفي لإدارة المشاريع 21/118016 تسعة 
مجالات معرفة خاصة بإدارة المشاريع هي: 
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-١‏ إدارة تكامل المشروع. 

؟'- إدارة نطاق المشروع. 

7 ادارة وقت امشروع. 

ج إدارة تكلفة امشروع. 

0- إدارة جودة المشروع. 

1- إدارة الموارد البشرية للمشروع. 

8- إدارة مخاطر المشروع. 

۹- إدارة مشتريات المشروع. 

ويصف الدليل المعرفي لإدارة المشاريع 23818016 كلا من هذه المجالات المعرفية التسع 

بتفصيل معقول ومنطقي من حيث مدخلاتها وآدواتها ومخرجاتها. على سبيل المثال» وصف 

مجال ال معرفة الخاص بإدارة وقت المشروع ف الدليل المعرفي لإدارة المشاريع 21/113016 

يتضمن أقساما خاصة بالمدخلات والأدوات والمخرجات ل: 

٠‏ تحديد أنشطة المشروع: وهي عملية تعريف إجراءات محددة يتم تنفيذها لإنتاج 
الملاحق أو المخرجات الفعلية للمشروع. 

٠‏ تسلسل أنشطة المشروع الحساسة: لا بد من تحديد وتوثيق العلاقات الموجودة بين 
أنشطة ا مشروع. 

ه تقديرالموارد الخاصة بالنشاط: يجب تقدير أنواع وإعداد الأشخاص وكميات المواد 
والمعدات واللوازم المطلوبة لإتمام الأنشطة المجدولة للمشروع. 

ه تقدير الفترات الزمنية للنشاط: هناك ضرورة ملحة لتحليل تسلسل أنشطة المشروع 
والفترات الزمنية ومتطلبات موارد ووقت واحتياجات موارد اللمشروع. وذلك لجدولة 
أعمال ونشاطات ال مشروع. 
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لمراقبة حالة المشاريع لتحديث الإنجازات الخاصة بها وإدارة أي تغيرات قد تطرأ على 
الجداول الزمنية الخاصة بها. 


هذه هي الخطوات الأساسية لإدارة الوقت بالنسبة لأي مشروع: وهي تعد بالتأكيد 
الأنشطة الرئيسية التي ينبغي على وحدة تقنية المعلومات في المؤسسة أخذها بعين الاعتبار 
عند قيامها بالتخطيط متطلبات الوقت لأي مشروع من مشاريع تقنية المعلومات. 

بالإضافة للدليل الخاص بالإدارة العامةء فإن الدليل المعرفي لإدارة المشاريع (©2211801) 
يحدد بشكل تفصيلي أدوات إدارة المشاريع وعملياتها اللازمة في كل مجال من من مجالات 
المعرفة التي أشرنا إليها. يلخص الشكل التوضيحي (17١-؟)‏ هذه العمليات وكذلك مجالات 
المعرفة الخاصة بالدليل ال معرفي لإدارة المشاريع 53218016. لا يهدف هذا الفصل إلى 
تقديم نظرة تفصيلية عن جميع عمليات ومجالات المعرفة الخاصة بالدليل المعرفي لإدارة 
المشاريع ۴PM B0)‏ إنما يهدف إلى التركيز على الدور الذي يلعبه الدليل المعرفي لإدارة 
المشاريع 2318016 ف التخطيط والتنفيذ للعمليات الفعالة الخاصة بإدارة مشاريع تقنية 
المعلومات. إذ تستند الأرقام المرجعية في الشكل التوضيحي (5-17) إلى مواد الدليل 
المعرفي لإدارة المشاريع >2211801, ولكن ما يهم هنا هو أن هذه الأرقام تؤكد الخطوات 
اللازمة لبناء مشاريع فعالة. على سبيل المثالء مجال المعرفة رقم ۷ عبارة عن إدارة 
تكلفة امشروع» وهي خطوات ضرورية لأي عملية من عمليات المشروع ويوضح الشكل 
التوضيحي (17١-؟)‏ مجموعات العمليات الضرورية: وهي تقدير التكاليف وبناء الميزانية 
والتحكم في هذه التكاليف. 


أسلوب آخر لإدارة المشاريع: برنس۲ 2212©62: 

برنس۲ 212171012 هو أحد الأساليب الأخرى لإدارة المشاريع والمعترف بها بشكل قوي. 
وهو أسلوب معتمد على العمليات ومرتبط أكثر بالمواد الإرشادية الخاصة بإطار العمل 
آيتل الذي تحدثنا عنه في الفصل السادس من هذا الكتاب. وقد تم إطلاق الإصدار الأول 
من معيار 2817101:2 في عام 1197 باعتباره طريقة آو منهجية عامة لإدارة المشاريع. 
وعلى الرغم من أنه لا يزال حتى الآن غير شائع الاستخدام في الولايات المتحدة. فإن أسلوب 
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12 أصبح مألوفا على نحو متزايد بل ويعد هذه الأيام بمثابة الأسلوب الفعلي 
لإدارة المشاريع في كل من المملكة المتحدة ودول الاتحاد الأوروبي. إن 210121012 عبارة 
عن أسلوب معياري لإدارة المشاريع يعتمد على العمليات فهو قائم على مجموعة من 
المبادئ والعمليات المحددة لإدارة ال مشاريع. يصف الشكل التوضيحي )١-١1(‏ عملية إدارة 
المشاريع وفقا لمنهجية 0117101:2. 


ومقارنة بالدليل المعرفي لإدارة المشاريع 21/18016, فإن منهجية 2181710112 تعد أكثر 
توجها واعتماداً على حالة الأعمال من الدليل المعرفي لإدارة المشاريع 5118016. ومن خلال 
هذه المنهجية أيضا فإن إدارة المشاريع تكون موجهة نحو قيام الإدارة العليا بها أكثر من أن 
يقوم بها فريق العمل المباشر. وتعد هذه ال منهجية في كثير من النواحي أحد أفضل أدوات 
حوكمة تقنية المعلومات فيما يتعلق بإدارة المشاريع والإشراف عليها. ومع ذلكء فإننا لا 
نهدف من خلال هذا الفصل إلى وصف كيفية تطبيق منهجية برنس ۲ 2101710152 لإدارة 
المشاريع: ولكننا نهدف فقط إلى تسليط الضوء عليه باعتباره آداة بديلة عن الدليل المعرفي 
لإدارة المشاريع 2318016 للقيام بإدارة وضبط مشاريع تقنية المعلومات. وينبغي على 
فريق الإدارة الذي يساعد في وضع ومراجعة ضوابط حوكمة تقنية المعلومات الخاصة بإدارة 
المشاريع أن يُصر على ضرورة اتباع إدارة تقنية المعلومات لهذه المنهجيات الموضوعة فيما 
يتعلق بالتخطيط والإشراف على أنشطة المشاريع الخاصة بها. قد يستخدم العديد في هذه 
الأيام الدليل المعرفي لإدارة المشاريع 2218016 والذي يتسق مع الإدارة الفعالة لحوكمة 
تقنية المعلومات. على كل حالء إذا كانت إدارة تقنية المعلومات لم تقم بعد باعتماد 
الدليل المعرفي لإدارة المشاريع 2218016: فإن على الإدارة الأخذ بالنصيحة التي تحث على 
تبني وحدة تقنية المعلومات لمعايير ۶۸1×٥۳2‏ نظرا لأنها تتوافق بشكل كبير مع أفضل 
ممارسات إطار العمل آيتل التي تناولناها في الفصل السادس من هذا الكتاب. 


محفظة نظم تقنية المعلومات وإدارة البرامج: 

يقوم مديرو المشاريع غالبا باستخدام مصطلح 'برنامج' عندما يتحدتون عن عدة 
مشاريع. يكون البرنامج في العادة عبارة عن مشروع رفيع المستوى يستخدم لإدارة سلسلة 
من المشاريع المترابطة والمتصلة بعضها ببعض. على سبيل ال مثالء قد ترغب المؤسسة في 
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تنفيذ مبادرة كبيرة إلى حد ماء فيتم تقسيمها إلى سلسلة من المشاريع ال منفصلة. ويستطيع 
كل مشروع من هذه المشاريع العمل بشكل مستقل: > غير أن هيكل البرنامج يقوم بإدارة 
جميع هذه المشاريع معا. . ويستخدم هذا الفصل عموماً مصطلح "مشروع" للدلالة على 
عمل أو جهد فردي» ومصطلح "برنامج" للدلاله على عدة مشاريع مترابطة فيما بينها. 
وهناك مصطلح آخر ألا وهو محفظة استثمارات تقنية المعلومات ۲۲ 0۴ ۴0۲0110 
9 والذي يشير عادة إلى المكان أو المستودع الخاص باستثمارات المشاريع 
القانهة. فعادة ما يتم تجميع عدة مشاريع مترابطة بعضها مع بعض في برامج ومحافظ 
مشاريع. 
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العمليات ومجالات ال معرفة الخاصة ال المعرفي لإدارة المشاريع 52113016 


موجز مجموعات 


Ê ê 


(۳-۱٦) 


الفصل الساذس عشر 


قضايا حوكمة تقنية المعلومات: إدارة المشاريع والبرامج 


شكل توضيحي (۳-۱٦)‏ 


عملية إدارة المشاريع وفقا لمنهجية ۲۸1×٥۴2‏ 
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يتكون برنامج إدارة المشاريع من سلسلة من المشاريع المترابطة التي تدار بطريقة 
متناسقة للحصول على المزايا والضوابط التي لا يمكن أن تكون متاحة في حال كانت هذه 
المشاريع تدار بشكل مستقل ومنفصلة بعضها عن بعض. حيث تتكون البرامج بشكل عام 
من عمل مترابط قد يكون خارج نطاق المشاريع ا منفردة. 

تظهر الحاجة إلى إدارة البرنامج بشكل عام عندما يكون لدى المؤسسة هدف فردي 
محدد يمكن تحقيقه من خلال سلسلة من المشاريع المنفصلة. على سبيل المثال» خطة نقل 
منشأة صناعية إلى موقع جديد. تتطلب وجود سلسلة من المشاريع المنفصلة التي بحاجة 
إلى تنسيق. قد يتطلب أحد المشاريع هنا نقل وتركيب معدات الإنتاج» وقد يتطلب الآخر 
نقل اللواد الخام» وسيبقى هناك مشروع آخر منفصل سيعمل على تغطية موضوع تحويلات 
نظم تقنية المعلوفات: وعلى الرغم من أنه يجب أن يكون هناك شخص ما يكون مسؤولا 
عن تنسيق جميع هذه الأعمال فإن كل مشروع سيكون له احتياجاته ومتطلباته الخاصة. 
حيث سيتم إدارة هذه المشاريع بشكل منفصل ولكن بعد تجميعهم معا كبرنامج واحد. 

ينبغي على حوكمة تقنية المعلومات النظر إلى متطلبات المشاريع المترابطة والخاصة 
بتدقيق تقنية امعلومات على أنها برنامج. على سبيل المثال. قد يُطلب من ال مؤسسة مراجعة 
الضوابط الداخلية في مجموعة من المنشآت وفقاً لقانون ×50 البند .٤٠٤‏ حتى وإن كان 
كل مشروع من هذه المشاريع المستقلة سيتم تنفيذه على أنواع مختلفة من المرافق وفي 
مناطق جغرافية مختلفة وتحت مسئولية فرق مختلفة في إدارة تقنية المعلومات؛ فإن كل 
مشروع من هذه المشاريع سيكون له الأهداف العالية المستوى نفسهاء وقد يكون أحد كبار 
المديرين هو المسئول عن إتمام كل واحد من هذه المشاريع بشكل كلي. حيث يمكن تنظيم 
وإدارة هذه المجموعات من المشاريع في برنامج: مع قيام كل مدير من مديري المشاريع 
المستقلة بإعداد وإرسال التقارير إلى مدير البرنامج من أجل تحقيق الامتثال العام لكامل 
اا 


وبالانتقال من مستوى إلى آخر أعلى» حيث مصطلح إدارة المحافظ الذي يشير إلى 
مجموعات من المشاريع والبرامج والأعمال الأخرى التي يتم تجميعها معا لتسهيل إدارتها 
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الشركاتء وربما تكون واحدة من هذه اللجموعات مسؤولة عن العمليات التشغيلية للبنية 
التحتية لتقنية المعلومات في دول الاتحاد الأوروبيء في حين أن الأخرى مسؤولة عن ذلك 
في الولايات المتحدة الأمريكية وكندا. في هذه الحالة يمكن اعتبار الأنشطة الشاملة لتقنية 
المعلومات لكل وحدة من الوحدات عبارة عن حافظة (محفظة) لإدارة تقنية المعلومات: 
حيت يكن إدراج كل منهما تحت محفظة ذات مسفوى أغاى ف المقر الرثيسي للشركة. 
إن هذه المفاهيم التي تتعلق بإدارة كل من المشاريع والبرامج والمحافظ موضحة بالشكل 
التوضيحي (6-17). الفكرة هي أن تلك العلاقات الواردة بالشكل يجب إنشاؤها إذا اقتضت 


الحاجة وذلك لتعزيز الكفاءة وتحقيق الأهداف العامة. 


الإدارة 


شكل توضيحي (6-15) 


نظرة عامة على إدارة المشاريع والبرامج والمحافظ. 


| المشاريع لها أهداف محددة. 
سيتضح النطاق تدريجيا 


أ خلال دورة حياة المشروع. 


يتوقع مديرو المشاريع التغيير 


ولذا يقومون بتنفيذ عمليات 
لإدارة التغيير والتحكم فيه. 


مديرو المشاريع بحاجة إلى 
التخطيط للتطور التدريجي 
من تت تخطيط عالي | لستوق 
إلى فخطيط تفصيلي غلال 


| دورة حياة المشروع. 


يدير مديرو المشاريع فريق 


| الامج لھا نطاقات کو 


تسا على هديري البرامج 


أن يتوقعوا التغيير سواء من 
داخل أو خارج البرنامج وأن 
بعدوا لإدارتك. 

الشاملة بي ويضعون 
خططا عالية المستوى 
لتوجيه التخطيط التفصيلى 


يدير مديرو البرامج أعضاء 


المحافظ لها نطاق أعمال يتغير ظ 

بتغير الأهداف الإستراتيجية 
يراقب مديرو ال محافظ 
باستهرار التغيرات ف البيئة 
الواسعة. 


يقوم مديرو المحافظ بإنشاء 
العمليات والاتصالات 
الضرورية ذات الصلة 
بالمحفظة الإجمالية والإبقاء 
عليها. 





المشروع لتحقيق أهداف فريق البرنامج ومديري | وينسقون أعضاء فريق إدارة 
امشروع. المشاريع. فهم يقدمون | المحفظة. 
الرؤية وتكون لهم ملكية 
البرنامج بالكامل 
00 


دليل المسئول التنفيذي لحوكمة تقنية ابمعلومات 


الفصل السادس عشر 


يقاس النجاح بجودة المنتج 
وامشروع وبالفترات الزمنية 
والالتزام باطيزانية وممستوى 
با الما 

يقوم مديرو المشاريع هراقبة 
وضبط عملبات تقديم 
امنتحات والخدمات والنتائج 
التي أقر المشروع من أجلها. 


يقاس النجاح بالدرجة التي 


عندها يتم تحقيق البرنامج 
للاحتياجات وا مزايا التي من 
أجلها تم وضع البرنامج. 

يراقب مديرو البرنامج التقدم 
التدريجي للكونات البرنامج 
لضمان الالتزام بكل من 
الأهداف العامة والحداول 


يقاس النجاح من حيث الأذاء 
الكلي التخسعي يلكونات 
المحفظة. 


يراقب مديرو المحافظ مؤشرات 
الأداء والقيمة التجميعية. 


الزمنية والطيزانية وتحقيق 
المزايا المرجوة. 





بالإضافة إلى مراجعة وإدارة المشاريع والمحافظ الفردية لتقنية ا معلومات» فإن الدليل 
الموضح في الشكل التوضيحي (17١-؟)‏ مفيد لإدارة تقنية المعلومات. حيث يوجد عدة 
مشاريع متشابهة لتدقيق تقنية المعلومات» والتي يمكن إدارتها كبرنامج أو اعتبارها جزءا 
من محفظة مشاريع. الفكرة العامة هي أنه لا بد من أن يكون هناك تفاعل قوي بين 
البرامج أو المحافظ ومشاريعهم المستقلة أو التابعة » غير أن إدارة البرنامج لا تستطيع في 
الغالب أن توجه أو تملي شروطها على أنشطة المشاريع الفردية» كما أن المشاريع الفردية 
سوف تساعد في تحديد البنية العامة للبرامج الداعمة. فالتشابه بين سلسلة عمليات 
التدقيق المستقلة لتقنية المعلومات وبين الإدارة العامة للتدقيق يكون قويا للغاية. 

إن العديد من إدارات تقنية ا لمعلومات هذه الأيام محمّلة بالعديد من البرامج والمشاريع. 
حيث نجد أن بعض هذه المبادرات منظم على نحو جيد في حين يفتقر البعض الآخر للترابط 
الجيد حتى إنها تبدو عشوائية. وكأحد العناصر الهامة في حوكمة تقنية المعلومات. يجب 
أن يكون هناك أعمال ومجهودات جارية ومستمرة لجعل إدارة تلك المبادرات الإستراتيجية 
الخاصة بالمشاريع أبسط وأكثر فاعلية. أما فيما يخص الحلول التي تقدمها حوكمة تقنية 
المعلومات في هذا الصدد فهو بناء أساس قوي لإدارة محافظ المشاريع. إن إدارة احتياجات 
المشاريع ومواردها وميزانياتها على نحو فعال تعد مثابه المفتاح الرئيسي لتقديم مبادرات 
تتعلق بحوكمة تقنية معلومات والتي تعمل على قيادة الشركة إلى الأمام وتصبح المسار 
الصحيح الذي يساعد المؤسسة على تحقيق أهدافها. 
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قضايا حوكمة تقنية المعلومات: إدارة المشاريع والبرامج 


مكتب إدارة البرامج (©221): أحد الموارد القوية للحوكمة: 

كما تحدثنا سابقاء فإن البرنامج عبارة عن مشروع ذي مستوى أعلى يعمل ليكون آداة 
للإدارة والإشراف على مشاريع أخرىء وهي المشاريع الفرعية. وقد بدأ ظهور هذا المفهوم 
في مجال تقنية ا لمعلومات خلال سنوات استهلكت فيها أقسام تقنية المعلومات طاقاتها 
من أجل تسليم مشاريع مطلوبة في الوقت المحدد وفي حدود الميزانيات المخصصة. وقد 
كان الحل هو ضبط المشاريع بإحكام من خلال تأسيس ما يعرف بمكاتب إدارة البرامج 
Program Management Ofces (PMO)‏ باعشارها وسسلة لتعزيز كفاءة تقنية 
المعلومات وخفض التكاليف وتحسين أداء المشاريع من حيث الالتزام بالوقت والميزانية. 
فما تم فعله لمشاريع تقنية ا معلومات يمكن عمله تماماً على نحو جيد للمشاريع الأخرى 
في اللؤسسة. 

قد يقدم مكتب إدارة البرامج ۴10 المعايير أو سلطة الموافقة على جميع المشاريع 
أو حتى مهارات إدارة المشاريع وذلك من خلال كادر مكون من مجموعة من المحترفين 
المعتمدين في إدارة المشاريع. حيث تستطيع الوحدة الخاصة بمكتب إدارة البرامج 5210 
غرس الانضباط ف إدارة المشاريع الذي تشتد الحاجة إليه فى أقسام تقنية المعلومات وجميع 
المجموعات الأخرى المشاركة في إدارة المشاريع. كما يمكن لمكتب إدارة البرامج 52210 
المساعدة من خلال تقديم البنية اللازمة لتوحيد ممارسات إدارة ال مشاريع وتسهيل إدارة 
محافظ المشاريع بالإضافة إلى تحديد منهجيات لعمليات متكررة. ويعد قانون ×50 - 
الذي يطالب الشركات بالإفصاح عن الاستثمارات» كالمشاريع الضخمة: التي قد تؤثر في 
الأداء التشغيلي للشركة - أحد العوامل المحفزة في هذا الصدد. فقد أجبر الشركات على عمل 
مراقبه حثيثه على نفقات المشروع ومدى تقدمه. 

هناك نموذجان آساسيان لمكاتب إدارة البرامج 21109: أحدهما يعمل بصفة استشارية 
حيث يزود مديري المشاريع في وحدات الأعمال بالتدريبات والإرشادات» وأفضل الممارسات. 
أما النموذج الآخر فيعمل على أنه مركز به مجموعة من مديري المشاريع يتم إعارتهم 
إلى وحدات الأعمال للعمل بصفةمديري مشاريع. إن الكيفية التي يتم بها تنظيم وإدارة 
مكتب إدارة البرامج (2710) وتعيين الكوادر المؤهلة للعمل فيه تعتمد على عدد كبير 
من العوامل التنظيميةء من ذلك الغايات المستهدفة. ونقاط القوة التقليدية: والدوافع 
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الفصل السادس عشر 


الثقافية. فبتبني فكرة وجود مكتب لإدارة البرامج (0210) ما يتماثى مع ثقافة إدارة 

تقنية المعلومات: يمكن لمكتب إدارة البرامج ©2321 أن يساعد المؤسسة ف القيام بالمشاريع 

الإستراتيجية التي ترضي كلا من المستخدمين الداخليين والخارجيين. ومع مرور الوقت» 

يجب أن يكون مكتب إدارة البرامج 2310 قادرا على تزويد المؤسسة بالفوائض المالية من 

خلال تفعيل إدارة أفضل للموارد وتقليص فشل المشاريع ودعم تلك المشاريع التي تعود 

على ايلؤسسة بفائدة أكير: 

تكون مكاتب إدارة البرامج 221105 عادة عبارة عن وحدات إدارية لدعم إدارة تقنية 
المعلومات. وقد تختلف هذه المكاتب من حيث أحجامها وبنيتها ومسؤولياتها. فهي تقدم 
إرشادات في إدارة المشاريع لمديري المشاريع في وحدات الأعمال وتعمل غالبا في مجالات 

الدعم التالية: 

٠‏ عملية / منهجية لإدارة المشاريع: سواء كانت وحدة تقنية المعلومات في المؤسسة تستخدم 
الدليل المعرف لإدارة المشاريع 2218016 أو برنس؟ 21017101:2, فبإمكان مكتب إدارة 
البرامج ۴10 أن يقدم الإرشادات لتطوير وتنفيذ عمليات متناغمة وقياسية لإدارة ا مشاريع. 

2 التدريب على إدارة المشاريع: وتعتبر هذه النقطة من المحالات الفعالة.» حيث بإمكان 
مكتب إدارة البرامج ۴10 أن يقوم بعقد برامج تدريبية تتعلق بالمشاريع أو جمع 
متطلبات التدريب لكي تقوم بها شركة تدريب خارجية. 

٠‏ مقرلمديري المشاريع: ما أن مكتب إدارة البرامج 2110 يعتبر بمثابة مصدر مركزي 
للمعرفة والدعم اللازمين لإدارة المشاريع: فبإمكانه الابقاء على مكتب مركزي حيث يتم 
منك إعارة مديرق المشاريع للخارج عتد انتهاء المشروع اطعين علية. 

٠‏ الاستشارات والتوجيهات الداخلية: بهدف تشجيع التميز في إدارة المشاريع» يستطيع 
مكتب إدارة البرامج 21810 أن يقدم النصح للموظفين الآخرين فيما يتعلق بأفضل 
الممارسات مع التركيز على الدليل المعرفي لإدارة المشاريع .PMBOK‏ 

٠‏ الأدوات البرمجية لإدارة المشاريع: مكن اختيار الأدوات البرمجية المخصصة لإدارة المشاريع 
وصيانتها لكي تستخدم من قبل جميع المشاركين في المشاريع» حيث يوجد العديد من المواد 


قضايا حوكمة تقنية المعلومات: إدارة المشاريع والبرامج 


البرمجية المتاحة لدعم أنشطة إدارة المشاريع. كما يمكن أن يعمل مكتب إدارة البرامج 
0 بمثابة مركز لتبادل المعلومات فيما يتعلق باستخدام تلك الأدوات البرمجية. 


٠‏ إدارة المحفظة: وضع فريق مكون من مديري المشاريع قادر على إدارة عدة مشاريع 
مترابطة مثل المشاريع الخاصة بتقنيات البنية التحتية. ومشاريع التطبيقات المكتبية 
وغيرها من المشاريع: وتخصيص الموارد وفقا لذلك. 

رها توجد أساليب مختلفة لدى المنظمة للقيام بإدارة الوحدة الخاصة مكتب إدارة 
البرامج 5210. لكن الطريقة المركزية التي تمتاز با ممارسة العملية على التحكم في 
المشاريع تكون غالبا أكثر فاعلية في المنظمات التي يتعامل فيها مكتب إدارة البرامج 

0 بشكل نظامي مع كبار المديرين التنفيذيين ولديه كامل الصلاحية بإلغاء مشاريع 

أو وضع أولويات لها. فمن خلال استخدام منهجيات واضحة المعام لإدارة المشاريع» فإن 

مكتب إدارة البرامج يمكنه غالباً العمل مع وحدات الأعمال في كل جانب من جوانب 
إدارة المشاريع ابتداءً من تحديد المتطلبات الرئيسية إلى المرحلة الخاصة بإجراء عمليات 
التدقيق التي تلي عملية التنفيذ. إن الإبقاء على عمليات متناغمة عبر المنظمة من شأنه 
أن كن المنظمة من القيام بتجزئة المشاريع إلى مكونات أصغر هكن إدارتها ومن ثم 

التقليل من الفشل. 

تمتد مسؤوليات مكاتب إدارة البرامج 211009 بشكل واسع من توفير مركز لتبادل 
المعلومات المتعلقة بافضل ممارسات إدارة المشاريع إلى إجراء ال مراجعات الرسمية لإدارة 
المحافظ. وليس من الضروري أن يقتصر إشراف مكتب إدارة البرامج فقط على تطوير 
المشاريع بل قد تشمل التنسيق وتتبع كلا من المشاريع والخدمات. لذا يعد إنشاء مكتب 
لإدارة البرامج 2210 للعمل في أي منظمة بمثابة تدريب على التكيّف وقوة التحمل. فعندما 
يتعلق الأمر بإنشاء مكتب لإدارة البرامج ٨10‏ فإن هناك عددا محدودا من خرائط الطرق 
التي يمكن اتباعهاء أو المعابير القياسية التي يسارع بتبنيهاء أو المقاييس التي يمكن القياس 

ل أساسها. إن أكثر مكاتب إدارة البرامج PMOs‏ فاعلية هي تلك التي بشن التحسيتات 

مع مرور الوقت وتدفع المنظمة دائما إلى تحسين أدائها. 
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الفصل السادس عشر 


إدارة المشاريع ومكتب إدارة البرامج (2210) وحوكمة تقنية المعلومات: 

تقوم المؤسسات ببناء وتأسيس مبادرات تقنية المعلومات وغيرها من المبادرات الرئيسية 
الخاصة بها من خلال المشاريع. وكما ذكرناء فإن المشاريع وإدارة المشاريع الخاصة بتقنية 
المعلومات تعمل غالبا خارج الحدود التنظيمية للمنظمة. فمبادرة تنفيذ نظام جديد 
لحساب تكاليف الإنتاج مقلا قد تحتاج إلى موارد من نظم وبرامج تقنية المعلومات, 
بالإضافة لأشخاص من إدارة الحسابات ووحدات الإنتاج المختلفة. فعندما تكون هذه 
الجهود خاضعة لإشراف مدير المشروع المعين» مكن الحصول على الموارد واتخاذ الخطوات 
اللازمة لتنفيذ نظام حساب تكاليف الإنتاج المطلوب. 

إن الاستخدام الفعال لمبادئ إدارة المشاريع يعد أحد العناصر الهامة في الحوكمة الفعالة 

لتقنية اللعلومات. لذا يجب على إدارة تقنية المعلومات أن تتبنى منهجية لإدارة المشاريع 

مثل الدليل ال معرفي لإدارة المشاريع PMBOK‏ مثلا. والأهم من ذلك. هو وجود ما يشبت 
أن جميع المشاريع القائمة حاليا يا تستخدم هذا اسلوب وأتيا عتلك سال قغالة معهولا 
بها في تخطيط المشاريع: هذا بالإضافة إلى وجود مثل تلك الوثائق التي يعلن فيها صراحة 
عن أهداف المشروع وخطط ضمان الجودة الموضوعة موضع التنفيذ. كما يجب أن يكون 
هناك دليل على وجود عمليات منهجية معمول بها لإدارة مشاريع تقنية المعلومات. 

إذا كانت إدارة تقنية المعلومات تقوم باستخدام عمليات المشروع لبناء وإدارة العديد من 
أنشطته. وإذا كان هناك عدد كبير من المشاريع المترابطة» فعلى إدارة تقنية المعلومات أن تقوم 
بتأسيس مجموعة فعالة من العمليات الخاصة بمكتب إدارة البرامج 51/105. حيث تعد عملية 
إدارة البرامج أحد العمليات الهامة متى كان هناك عدد كبير من عمليات المشاريع المستخدمة 
في بناء وتنفيذ مشاريع وعمليات تقنية ال معلومات. إن العمليات الفعالة في إدارة مشاريع تقنية 
ا معلومات سوف تسهم في تحسين العمليات الشاملة في حوكمة تقنية المعلومات. 


ملاحظة: 
Project Management Institute, A Guide to the Project Management Book‏ -1 
of Knowledge (PMBOK Guide), 4th ed. (Newtown Square, PA: 2008).‏ 
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الفصل السابع عشر 
اتفاقىات مستوى الخدمات (51.45) ومنتدى إدارة خدمات 
تقنية المعلومات (1:5011) وقيمة تقنية المعلومات (11 1721) 
وتعظيم استثمارات تقنية المعلومات 


منذ سنوات عديدة. تم تركيب نظم الحاسبات المركزية الأولى ۴١4۳۴‏ ”1ة في معظم 
الشركات الكبيرة. وكان ذلك بهدف تسير العمليات التشغيلية والتقليل من التكاليف. وقد 
كان أحياناً بهدف إعطاء السمعة أو المكانة للشركات. وقد كان ذلك في الأيام الأولى عندما 
كانت تلك النظم المركزية الباهظة الثمن توضع في أغلب الأحيان في غرف زجاجية محكمة 
الإغلاق في أروقة داخل الشركات» وكان هناك توقعات كبيرة حول الفوائض التي ستعود 
ل الأغمال حراة :هذه التقفية العديدة: لكان نرغان عا تسياعيية أمل رة ورا 
للمخاوف المتعلقة بموضوع الأمان والمساحة»ء فسرعان ما تم نقل تلك الأجهزة المركزية 
ومجموعة محركات الأشرطة والوحدات التخزينية المتزايدة الخاصة بها إلى مواقع بعيدة 
تابعة للشركة. والأهم من ذلك كانت المدخرات الاستثمارية العائدة بطيئة نظرا للتكلفة 
الخاصة بتوظيف وبناء كادر من المتخصصين العاملين في تقنية المعلومات» وكذلك بسبب 
حالات التأخير والتكاليف المصاحبة للعديد من مشروعات تطوير تقنية ال معلوماتء واا 
بسبب البرامج التطبيقية التي مم تكن تعمل بالشكل الجيد كما هو متوقع. وسرعان ما 
أدركت المؤسسات أن هناك حاجة ماسة ممراجعة استثماراتها في مجال تقنية المعلومات 
الخاصة بها على جميع المستويات ومحاولة تحقيق المزيد من الفوائد الناتجة عنها. 

يستعرض هذا الفصل القضايا وا لمخاوف المتعلقة بحوكمة تقنية المعلومات من عدة وجهات 
نظر فيما يتعلق باستثمارات المؤسسة في موارد تقنية المعلومات. وسوف نبدأ الحديث أولا 
عن أهمية وضع اتفاقيات مستوى الخدمات 514١‏ وإدارتها على نحو فعال على أنها جزء من 
عمليات تشغيل تقنية المعلومات الخاصة بالمؤسسة. حيث تعد اتفاقيات مستوى الخدمة 
46 والإرشادات الخاصة بإدارة الخدمات المرتبط بها واحدة من أفضل الممارسات الخاصة 


دلبل المستول التنفيذي لحوكمة تقنبة المعلومات حك 


الفصل السابع عشر 


بإطار العمل آيتل التي تم تقدهها للمرة الأولى في الفصل السادس من هذا الكتاب. وهي عبارة 
عن مجموعة من التفاهمات أو العقود الداخلية بين مستخدمي خدمات تقنية المعلومات 
وإدارة تقنية المعلومات. فهي تصف الخدمات التي ستقدمها وحدة تقنية المعلومات للإدارات 
المختلفة للمستخدمين وتشمل الملفات والتقارير المحدثةء إضافة إلى تسليم الملفات والوثائق 
المحددة ف الوقت المناسب. كما سنؤكد أهمية اتفاقيات مستوى الخدمة 51.45 على أنها إحدى 
الأدوات الهامة لحوكمة تقنية المعلومات وسنتحدث أيضا عن كيفية تطبيق هذه الاتفاقيات فى 
المئؤسسة وحصد المزايا والفوائد الناتجة عنها على نحو أكثر فاعلية. 

المنتدى الذي هكن اعتباره مرتبطاً ارتباطاً وثيقا بإطار العمل آيتل لكنه مستقل عنه» هو 
منتدى إدارة خدمات تقنية المعلومات (151/11) Service Management Forum‏ 11. 
وهو عبارة عن منظمة ذات عضوية مهنيه مستقله قامت بتعزيز وترويج العمليات الخاصة 
بإدارة خدمات تقنية المعلومات ونشرت بعض الإرشادات التي لها علاقة بهذه المجالات. 
فمن خلال الفروع ا محلية في العديد من المدن الرئيسية ومع الاهتمام القوي والمتزايد 
بقضايا حوكمهة تقنية المعلومات. فإن منتدى إدارة خدمات تقنية المعلومات 115111 هو 
المنظمة التي رها يهتم بها محترفو الإدارة لمزيد من البحث والاستكشاف. سيقدم هذا 
الفصل هذه المجموعة الاحترافية ويسلط الضوء على بعض نقاط القوة اللتعلقة بحوكمة 
تقنية ا معلومات الخاصة بها. 

سيقدم هذا الفصل أيضا بشكل موجز ما يُعرف با مجموعة المفتوحة للامتثال والأخلاقيات 
Open Compاiance and Ethics Group (OCEG)‏ ومعايير الحوكمة وإدارة المخاطر 
والامتثال G۸٣‏ الخاصة بها. 

كما سيقدم هذا الفصل أيضا بعض التفاصيل الإضافية عن معايير الحوكمة الخاصة 
بهذه المجموعة مع التركيز على "الكتاب الأحمر" الخاص بهذه المجموعة. ومن ايلؤكد 
أننا سنلاحظ التركيز المتزايد على المعايير الخاصة بال مجموعة المفتوحة للامتثال والأخلاقيات 
6 باعتبارها أدوات تستخدم لتحسين حوكمة تقنية ا لمعلومات في السنوات القادمة. 
وسيناقش هذا الفصل بعض المعايير والأدوات التي صدرت عن منتدى إدارة خدمات تقنية 
المعلومات لتحسين كل من حوكمة تقنية ا للعلومات ومخاطر الأعمال والاحتيال. 
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اتفاقات مستوى الخدمات (51.45) 


قامت جمعية تدقيق وضبط نظم ال معلومات )154C-4(‏ التي تم تقديمها في فصول 
سابقة بتطوير وإصدار مجموعة من المواد الإرشادية التي أطلق عليها مصطلح قيمة تقنية 
المعلومات 1١‏ 1781 التي تهدف إلى فهم وتقييم الاستثمارات التي خصصتها المؤسسة بلوارد 
تقنية المعلومات لديها على نحو أفضل. كما سيقوم هذا الفصل بتقديم نموذج قيمة تقنية 
المعلومات 1١‏ 7/81 وسيوضح لماذا يعد هذا النموذج واحداً من المفاهيم الهامة التي من 
الممكن أن تساعد الإدارة العامة وإدارات تقنية المعلومات التابعة لها في العمل سويا على نحو 
أفضل بهدف تحقيق قيمة أكبر من عمليات تة تقنيه المعلومات الخاصة بهم. 

سيختتم هذا الفصل ببعض چ العامة بالنسبة للمؤسسة فيما يتعلق بقياس 
وتحقيق القيمة المكتسبة من استثمارات تقنية المعلومات الخاصة بها. إننا مع مرور 
الوقت أصبحنا أكثر ذكاء. وذلك غندما تلاشت نشكل كبير نظم الحاسبات المركزية الضخمة 
والمكلفة. وأصبحنا الآن نقوم وفي فترات زمنية صغيرة بتجميع التطبيقات الجديدة من 
قائمة الخيارات الموجودة في نظام قائم على السحابة بدلا من بناء تلك التطسيقات داخلياً من 
قبل طاقم التطوير الموجود في المؤسسة. ومع ذلك فإن المؤسسة بحاجة إلى معرفة تكاليف 
تلك النظم واتخاذ التدابير والإجراءات المناسبة لتحقيق أكبر قيمة ممكنة. ويعد ذلك من 
العناصر الهامة في حوكمة تقنية المعلومات. 

أفضل ممارسات إذارة الخدمات طبقا لإطار آيتل ومتتدى إذارة خدمات تقنية 
المعلومات :(ITSMF)‏ 

سبق الحديث ف الفصل السادس من هذا الكتاب عن مكتبة البنية التحتية لتقنية 
المعلومات آيتل (.1111) وعن معايير أفضل الممارسات الخاصة بهاء وذلك فيما يتعلق بدعم 

تقديم خدمات تقنية المعلومات. فهي تقوم بتوفير الإرشادات والدعم الفعال لكل من إدارة 

تقنية المعلومات في المؤسسة والعديد من المجالات المتعلقة بحوكمة تقنية ا معلومات: فعمليات 
مكتبة البنية التحتية لتقنية المعلومات آيتل تغطي مجالات أكثر توافقا مع عملية التشغيل التي 
تتسم بالسلاسة للبنية التحتية الشاملة لتقنية المعلومات. وعلى الرغم من إلقاء الضوء عليها 
مع العمليات الأخرى لأفضل الممارسات في الفصل السادس من هذا الكتاب؛ فان فهم وتطبيق 
أفضل ممارسات إدارة مستوى الخدمات في آیتل يعد أمرا ف غاية الأهمية 2 هذه الأيام. 
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الفصل السابع عشر 


إن إدارة مستوى الخدمة ]12121125112612 14761 Service‏ هو الاسم ا لعملية 
التخطيطء والتنسيقء والصياغة. والاتفاق؛ والرقابة. وإعداد التقارير فيما بخص الاتفاق 
الرسمي بين كل من إدارة تقنية المعلومات في المؤسسة ومقدمي ومتلقي خدمات تقنية 
المعلومات. وتأخذ هذه العمليات الصفة الرسمية من خلال إبرام اتفاقيات مستوى 
الخدمات 514s‏ بين تقنية المعلومات والعملاء أو المستخدمين للتطبيقات والعمليات 
والخدمات الأخرى الخاصة بتقنية المعلومات. أي أن هذه الاتفاقيات تمثل الاتفاق الرسمي 
بين مقدمي خدمات تقنية المعلومات وعملاء تقنية المعلومات. عندما تم نشر الإصدار 
الأول للمواد الخاصة بأفضل ممارسات مستوى الخدمة في آيتل عام ٩۱۹۸ء‏ كانت اتفاقيات 
مستوى الخدمة S14‏ من المفاهيم المثيرة للاهتمام: إلا أنها لم تكن شائعة في ذلك الوقت. 
أما في الوقت الراهن فقد قامت العديد من المؤسسات بطرحها بالرغم من تفاوت درجات 
نجاحهاء ويتعين على كبار المديرين أن يكونوا على دراية كافية بها ومدركين لأهميتها عند 
فهم الضوابط الداخلية للبنية التحتية لتقنية المعلومات. 

وقي مثال على اتفاقيات مستوى الخدمة؛ عندما تقوم إدارة تقنية المعلومات في 
المؤسسة بالتعاقد مع مقدم خدمات خارجي على تقديم بعض الخدمات» مثل خدمة 
النسخ الاحتياطي الخاص بالتعافي من الكوارث» فإنه لا بد من تأمين وحماية هذه 
الاتفاقية من خلال عقد رسمي يتم من خلاله الحصول على موافقة مقدم خدمة 
التعافي من الكوارث على تقديم مستويات معينة من هذه الخدمة وفقا لجدول زمني 
محدد يعتمد على وقت الاستجابة. وفي هذه الحالة يُطلق على العقد المنظم لهذا 
الاتفاق اسم اتفاقية مستوى خدمه ۸ا5 بين وحدة تقنية المعلومات ومقدم الخدمات 
المستمرة. وف هذه الحالة تكون اتفاقيات مستوى الخدمة 54١‏ المبرمة بين إدارة 
تقنية المعلومات وعملائها أكثر أهمية من منظور الرقابة الداخلية. لقد قمنا باستخدام 
مصطلح "العميل" للدلالة على المصطلح القديم الذي لا يزال شائعا حتى الآن ألا وهو 
"مستخدمو تقنية المعلومات". كما أن هناك مجموعات كثيرة في المؤسسة تستخدم 
مصطلح "خدمات تقنية المعلومات" 561516065 115 وباعتبارهم عملاء لإدارة تقنية 
المعلومات. فإنهم يتوقعون مستويات معينة من الخدمة والاستجابة. ويتم تحديد 
وتعريف هذه الاتفاقيات من خلال ما يعرف باتفاقية مستوى الخدمة 51.4 وهي 
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اتفاقيات مستوى الخدمات (51.45) 


عبارة عن اتفاق موثق بين إدارة تقنية المعلومات وعملائها يحدد الأهداف الرئيسية 
للخدمات وال مسؤوليات ال منوطة بكلا الطرفين. لذا لابد من التركيز على الاتفاقية: كما 
لا يجب أن تستخدم اتفاقيات مستوى الخدمة وسيلة لتهديد طرف أو آخر لإجباره 
على الاستجابة لمطالبه. نحن أيضاً لا نتحدث هنا عن وجود ضرورة رسمية أو شكل 
قانوني للوثيقةء ولكن نتحدث عن تفاهم موثق بين جميع الأطراف. لذلك لا بد من 
عمل شراكة حقيقية بين مقدم خدمات تقنية المعلومات والعملاء للتوصل إلى اتفاقية 
ذات منفعة متبادلة. خلاف ذلكء ستفقد اتفاقية مستوى الخدمة أهميتها بشكل 
ریخ وتكون هد6 لتلقي اللوم وقد تمنع ثقافة إلقاء التهم في هذه الحالة حدوث أي 
تحسينات حقيقة على جودة الخدمات. 

بناء على اتفاقية مستوى الخدمة»ء تتعهد إدارة تقنية ا معلومات بتقديم خدمات 
محددة طبقاً لكل مجموعة من الجداول الزمنية المتفق عليهاء وعليها أن تتفهم أن هناك 
عقوبات جزائية إذا لم يتم تحقيق معايير الخدمة. إن الهدف من كل هذا هو المحافظة 
على جودة الخدمات وتحسينها من خلال دورة تابته من الاتفاقء وامتابعة. والإبلاغ, 
وتحسين الملستويات الحالية لخدمات تقنية اللعلومات. لذا يجب أن تركز اتفاقيات 
مستوى الخدمة بشكل إستراتيجي على الأعمال والحفاظ على المواءمة بين الأعمال وتقنية 
امعلومات. 

يلخص الشكل التوضيحي )١1-11(‏ محتويات الاتفاقية النموذجية لمستوى الخدمة. 
وننوه هنا إلى أنه لا يجب أن تكون هذه الاتفاقية عبارة عن نوع من الوثائق التي تشبه 
وثيقة رهن منزل يتم التوقيع عليها على أنها جزء من عملية إتمام شراء المنزل» بل ليقوم 
عملاء تقنية ا لمعلومات باستخدامها في توثيق متطلبات خدمة تقنية المعلومات التي يسعون 
إليها مثل "ألا يزيد متوسط وقت الاستجابة عن ..." أو " ا معالجة الخاصة بإقفال النظم 
المالية تتم بحلول ... " أو غيرها من العوامل. ولضبط التوقعات الخاصة بتلك الخدمات 
وعرض ما يمكن أن يكون متاحا منهاء فإن إدارة تقنية المعلومات تقوم عادة بتقديم بيان 
خاص بعروض خدمات تقنية ا لمعلومات. لذا يجب إتمام التفاوض بشأن المتطلبات الخاصة 
بعملاء خدمات تقنية المعلومات ووضعها في اتفاقيات رسمية لمستوى الخدمة. كما يجب 


i 
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الفصل السابع عشر 


مراقبة الأداء في مقابل هذه الاتفاقيات الخاصة بمستوى الخدمة بشكل مستمر وإرسال 

تقارير تتعلق بأدائها بشكل منتظم. حيث إن الإخفاق في تحقيق المعايير الخاصة باتفاقية 

مستوى الخدمة قد يؤدي إلى المزيد من المفاوضات والتعديلات المتعلقة بهذه الاتفاقية. 

وتوفر هذه العملية الخاصة باتفاقية مستوى الخدمة فوائد ومزايا لكل من الأعمال ووحدة 

تقنية المعلومات تشمل ما يلى: 

٠‏ نظرا لأن وحدة تقنية المعلومات يجب أن تعمل على تحقيق المعايير التي تم التفاوض 
شان فان عات قنبة امات ميل إل أن كين ذات مودة أاعلى الأ 
الذي يؤدي إلى أعطال أقل. ومن الواجب أيضا أن تتحسن إنتاجية مستخدمي تقنية 
المعلومات. 

٠‏ سيتم استخدام الموارد البشرية في تقنية المعلومات بشكل أكثر فاعلية عندما تقوم 
وحدة تقنية المعلومات بتقديم الخدمات التى تلبى التوقعات الخاصة بالعملاء بشكل 
أفضل. 

00 باستخدام اتفاقيات مستوى الخدمة: ممكن قياس الخدمات اللقدمة وسيتحسن‎ ٠. 

» إن وجود العقود ال ملزمة سيجعل الخدمات المقدمة من الأطراف الأخرى (طرف ثالث) 
أكثر قابلية للإدارة ويقلل أي احتمالية للتأثير السلبى على خدمات تقنية المعلومات التى 

« إن مراقبة جميع خدمات تقنية المعلومات الخاضعة لاتفاقيات مستوى الخدمة تساعد 
على تحديد نقاط الضعف التي يمكن تحسينها. 


له ليل المستول التنفيذي لحوكمة تقنية امعلومات 


اتفاقيات مستوى الخدمات )S1۸45(‏ 


شكل توضيحي (۱-1۷( 
عبنة بلحتويات اتفاقية مستوى خدمات تقنية المعلومات 
نظرا لعدم وجود نموذج أو صيغة موحدة لاتفاقية مستوى خدمات تقنية المعلومات: فلا بد من 
أخذ العناصر التالية في الاعتبار على أنها محتوى لمعظم اتفاقيات مستوى الخدمات: 
صفحات مقدمة الاتفاقة: 
٠‏ الأطراف المشاركة في الاتفاقية. 
« عنوان الاتفاقية ووصف بسيط عنها. 
٠‏ تواريخ: البداية والنهاية؛ وا مراجعة. 
٠‏ نطاق الاتفاقية: الأمور المشمولة وغير ا مشمولة. 
٠‏ مسؤوليات كل من مقدم الخدمة والعميل. 
#وضق للقدمات اللشهولة. 
ساعات الخدمة :Service hours‏ 
٠‏ الوقت الطبيعي اللازم لكل خدمة. (مثال ۲٤×۷‏ أو من الاثنين إلى الجمعة من الساعة .)18::٠- 8:٠١‏ 


ه التوتسات الخاصة بظلبات مد الخدمة متضهنا ذلك فترات الإشعار المطلوبة. (مثال: يجب أن 
يتم تقديم الطلب إلى مكتب الخدمة قبل حلول الثانية عشرة ظهراً لتمديد الخدمة ف التوقيت 
المساقء وقبل الثانية عشرة ظهرا يوم الخميس لتمديد الخدمة خلال عطلة نهاية الأسبوع). 

« فترات سماح لساعات خاصة (مثل: الإجازات العامة). 


« التقويم الزمني للخدمة. 
الأتاحة :Availability‏ 
٠‏ مستويات الإتاحة المستهدفة ضمن الساعات المتفق عليها. ويتم التعبير عنها عادة بالنسب 
امئنوية. لذا يجب تحديد فترة وطريقة القياس والتي کی أن تعر عن كامل الخدمة أو الخدمات 
الداعمة أو المكونات الحساسة أو الثلاثة معا. ونظرا لصعوبة ربطها بالنسب المئوية المبسطة.ء فإنه 
يمكن قياس الإتاحة من حيث عدم قدرة العميل على تنفيذ أنشطة الأعمال الخاصة بالخدمة. 
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موثوقية الخدمة :Reliability‏ 


Mean Time Between Failures (MTBF)‏ أو متوسط الوقت بين حوادث النظم 
.Mean Time Between System Incidents (MTBST)‏ 


:Support الدعم‎ 

٠‏ ساعات الدعم (وهي تختلف عن ساعات الخدمة) متضمناً ذلك الترتيبات اللازمة لتقديم طلبات 
تمديد الدعم. 

٠‏ فترات الإشعار المطلوبة (مثلا: يجب تقديم الطلب الخاص بتمديد الخدمة خلال الفترة المسائية 
إلى مكتب الخدمة قبل الثانية عشرة ظهرا أو قبل الثانية عشرة ظهرا يوم الخميس لتمديد 
الخدمة خلال فترة عطلة نهاية الأسبوع). 

« فترزات سماح لساعات خاصة (مثل: العطل والإجازات العامة). 

٠‏ الوقت المستهدف للاستجابة للحواذث سواء كان ماديا أم باستخدام وسائل أخرى (مثال: الاتصال 
الهاتفي أو بالبريد الإلكتروني). 

٠‏ الوقت المستهدف لحل الحوادث» وذلك في حدود أولوية كل حدث - حيث يختلف الهدف 
اعتمادا على أولوية الحوادث. 

الطاقة الاإنتاحية :Throughput‏ 
ه هي مؤشر على حجم الحركة والأنشطة الإنتاجية المحتملة. (مثال: عدد المعاملات التي يتم 


تنفيذها أو عدد المستخدمين الذين يعملون في الوقت نفسه او حجم البيانات التي يتم نقلها 
عبر الشبكة). 


أوقات الاستجابة للمعاملات :Transaction response times‏ 
» الأوقات المستهدفة لمعدل أو أعلى وقت استجابة لمحطة عمل. (أحيانا يتم التعبير عنها باستخدام 
النسب اللئوية كأن نقول <٥‏ في غضون ثانيتين). 


الأوقات المطلوبة لتادل الدفعات :Batch turnaround times‏ 
٠‏ أوقات تقديم المدخلات وزمان ومكان تسليم المخرجات. 
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اتفاقيات مستوى الخدمات (51.45) 


:Changes التغيرات‎ 


٠‏ أهداف تخص الموافقة على طلبات التغيير Request For Changes (RFCs)‏ ومعالجتها 
وتنفيذهاء والتي تعتمد عادة على الفئة أو إلحاحية/ أولوية التغيير. 


« استمرارية وأمن خدمات تقنية klعلlagٽ IT service continuity and security‏ 
« الإشارة باختصار لخطط استمرارية خدمات تقنية المعلومات وكيف يتم استدعاؤها وتغطية 
أي قضية من القضايا وخصوصا أي مسئولية من مسئوليات العميل. (مثال: النسخ الاحتياطي 

لأجهزة الحاسبات الشخصية المستقلة 209 وتغيير كلمات المرور). 

٠‏ تفاصيل تتعلق بأي أهداف تخص الخدمات التي يتم الاستغناء عنها أو تعديلها في حال وقوع 

كوارث (إن م يكن هناك أي اتفاقية منفصلة لمستوى الخدمة فيما يتعلق موقف كهذا). 
المطالبات المالية تداع تقطان: 

« تفاصيل عن الصيغة أو المعادلة aاu‏ "٣ه‏ الخاصة بالمطالبات المالية والفترات الزمنية لها (في 
حال كانت هناك مطالبات مالية). إذا كانت اتفاقية مستوى الخدمة تشمل العلاقة مع المصادر 
الخارجية التي يتم الاستعانة بهاء فإنه يجب تفصيل المطالبات المالية ف الملحق كونها يتم 
تغطبتها غالبا بأحكام المعلومات السرية. 

إعداد تقارير عن الخدمات ومراجعتها :Service reporting and reviewing‏ 

» محختوی: وتكرارء وتوزيع تقارير الخدمات وتكرار اجتماعات مراجعة الخدمة. 

الحوافز/ الجزاءات المرتبطة بالأداء :Performance incentives/penalties‏ 

٠‏ تفاصيل عن أي اتفاقية تتعلق بالحوافز أو الجزاءات المالية اعتماذا على الأداء مقابل مستويات 
الخدمة المحددة. وعلى الأرجح أن يتم تضمين هذه المعلومات (الحوافز/ الجزاءات) في حال 
كانت الخدمات تقدم عن طريق منظمة خارجية (طرف ثالث). ومن الجدير بالذكر هنا هو أن 
الشروط الجزائية يمكن أن تتسبب بوجود صعوبات خاصة بها. 





إن عملية إبرام اتفاقية مستوى الخدمة هي إحدى العناصر الهامة لعمليات تشغيل 
تقنية المعلومات. فإذا لم تكن المؤسسة تستخدم اتفاقيات رسمية لمستوى الخدمة: فإنه 
يتعين على الإدارة العليا التفكير في تنفيذ العمليات الرسمية لاتفاقيات مستوى الخدمة 
الموصى بها. حيث تستطيع اتفاقيات مستوى الخدمة أن تخلق بيئة جديدة كلياً داخل 
تقنية المعلومات. ولتتمكن جميع الأطراف من فهم مسؤولياتهم والتزاماتهم تجاه الخدمة 


دليل المسئول التنفيذي لحوكمة تقنية ا لعلومات 015 


الفصل السابع عشر 


غل فمو أقضلء .هنذا بالإضافة إل اعفياة اثقاقنة مغو الخدمة أساب االو الذي 
من المسائل. 

يجب على المهنيين الذين يسعون إلى توسيع مدى إدراكهم لإدارة خدمات تقنية 
المعلومات أن دستخد موا اللصادز الخاصة منتدى إدارة خدمات تقنية نه اللحلومات itSMF‏ 
الذي تم الحديث عنه سابقا. تعتير هذه المنظمة غير الربحية لاعباً بارزا في عملياٹ 
التطوير والتعزيز المستمر لمعابير أفضل الممارسات الخاصة بإدارة خدمات تقنية المعلومات. 
ويستطيع المسئول التنفيذي المهتم بتعلم المزيد أن يزور الموقع ع10191:1]5115.01 للحصول 
على المزيد من المعلومات. وسوف تقود عملية البحث إلى مواقع وطنية مستقلة لكل دولة. 
فهي منظمة تقبل عضويات ولكن يستطيع المرء التسجيل للدخول بصفة ضيف والوصول 
إلى العديد من الوثائق بوالأوراق والمعلومات المتعلقة بامؤتمرات والندوات القادمة. يهتم 
منتدى إدارة خدمات تقنية المعلومات "15111 بالترويج لأفضل ممارسات إدارة خدمات 
تقنية ال معلومات الخاصه ممكتبة البنية التحتية لتقنبة المعلومات ابتل كما أن له اهتماما 
قويا ایر أنزو ٠٠‏ .لآ (20000 150 


معايير المجموعة المفتوحة للامتثال والأخلاقيات :OCEG‏ 

إن المجموعة المفتوحة للامتثال والأخلاقيات 0016© عبارة عن منظمة صناعية غير 
ربحية تعمل على تطوير المعايير وتساعد ال مؤسسات في تحسين عمليات الحوكمة وإدارة 
المخاطر والامتثال الخاصة بها. ومن خلال الدعم الكبير المقدم لها من قبل صناعة التقنيةء 
قامت هذه المنظمة بنشر العديد من "المعايير" مثل نموذج قدرة الحوكمة وإدارة المخاطر 
والامتثال 610. قمنا بوضع كلمة معايير بين علامتي اقتىاس نظرا لأن ايمحموعة اللفتوحة 
للامتشال والأخلاقيات لا تمتلك صلاحية وضع المعايير كما هو موجود في معايير الجمعية 
الأمريكية للمحاسبين القانونيين ۸1٤٥۶۸‏ أو حتى في بعض المواد الإرشادية الخاصة بالمنظمة 
الدولية للمعايير 150 التي تناولنا الحديث عنها في الفصل السابع من هذا الكتاب. 


يعرض هذا القسم "الكتاب الأحمر" "8001 160" الخاص بالمجموعة المفتوحة للامتثال 
والأخلاقيات :000180 ونموذج قدرة الحوكمة وإدارة المخاطر والامتثال 6۸٣‏ الخاص بها. إن 
هذه المواد الإرشادية للمجموعة المفتوحة للامتثال والأخلاقيات تشبه إلى حد كبير المعلومات 


رك دليل المسئول التنفيذي لحوكمة تقنية المعلومات 


اتفاقیات مستوى الخدمات (51.45) 


الإرشادية الأخرى للحوكمة وإدارة المخاطر والامتثال وإطار حوكمة تقنية المعلومات التي 
يمكن العثور عليها في فصول أخرى من هذا الكتاب» ولكن مع اختلاف طفيف في التركيز أو 
النهج المتبع. إن استخدام المجموعة المفتوحة للامتثال والأخلاقيات لكلمة "المفتوحة" له 
معنى خاص بالنسبة لتقنية المعلومات. إذ يتبادل النظام المفتوح التغذية الراجعة مع البيثة 
الخارجية لي يقوم بإجراء تحليل مستمر لتلك الردود وإعادة ضبط النظم الداخلية حسب 
الحاجة لتحقيق أهداف النظام. ومن ثم نقل هذه المعلومات الضرورية مرة أخرى إلى 
تلك البيفة الخارجية. وتختلف النظم المغلقة عن النظم المفتوحة بأن لها حدودا محكمة 
تسمح بتبادل معلومات طفيفة مع الخارج. تبدو بعض المنظمات غالبا - مثل ا منظمات 
البيروقراطية والاحتكارية ونظم تقنية المعلومات الكاسدة والتي قامت بغلق الحدود - غير 
صحية. فا مصطلح الشائع بالنسبة للعديد من نظم تقنية ال معلومات الحديثة والمتطورة 
هذه الأيام» هو مصطلح "المفتوحة" وهي الكلمة المناسبة لنموذج قدرة الحوكمة وإدارة 
المخاطر والامتثال. 

توجد الإرشادات الخاصة بالحوكمة وإدارة المخاطر والامتثال والصادرة عن الملجموعة 
المفتوحة للامتثال والأخلاقيات في وثيقة أطلق عليها اسم "الكتاب الأحمر" الخاص بنموذج 
القدرةء وتوجد هذه الوثيقة في الموقع 717171.028.018. وللعلم فإن الوثيقة الرسمية 
في نسختها الثانية حتى وقت نشر هذا الكتاب. متاحة عبر شبكة الإنترنت» في حين أن 
النسخة المحسنة متاحة فقط للأعضاء المشتركين. تحتوي نسخة الإنترنت الأساسية على 
وصف كامل لنموذج الحوكمة وإذارة المخاطر والامتثال. لكن يمكن بتكلفة إضافية 
الحصول على النسخة المحسنة مع قوالب وغيرها من الوسائل المساعدة والمفيدة في 
تطبيق هذه الأداة. يستند نموذج القدرة هذا على مفهوم سُمي بالأداء القائم على مبادئ 
Performance)‏ edاPrincip)»‏ وهو نهج متكامل للحوكمة وإدارة ال مخاطر والامتثال 


تمثل صورة عناصر قدرة الحوكمة وإدارة المخاطر والامتثال الموضحة بالشكل (17١-؟)‏ 
قلب نموذج المجموعة المفتوحة للامتثال والأخلاقيات؛ إذ إن العديد من المفاهيم هنا تشبه 
إلى حد كبير مفاهيم الحوكمة وإدارة المخاطر والامتثال التي تحدثنا عنها في فصول أخرى من 


دلبل المستول التنفيذي لحوكمة تقنية ا معلومات 0۴1 


القصل السابع عشر 


هذا الكتاب» إلا أن نموذج المجموعة المفتوحة للامتثال والأخلاقيات له نظرة صناعية ومرتكزة 
على تقنية ا لمعلومات بشكل أكبر. إن أهداف المجموعة المفتوحة للامتثال والأخلاقيات 
الخاصة بهذا النموذج يجب أن تساعد المؤّسسات على عمل ما يلي: 

٠‏ تعزيز أهداف العمل. 

٠‏ زيادة ثقة أصحاب المصلحة. 

٠‏ منع وقوع الكوارث: والكشف عنهاء وتقليصها. 

٠‏ التحفيز والحث على السلوك المرغوب فيه. 

« تحسين اللسؤولية والكفاءة. 

٠‏ تحسين القيمة الاقتصادية والاجتماعية. 

مفهوم الأذاء القائم على مبادئ الخاص بالمجموعة المفتوحة للامتثال 
والأخلاقيات ©0016©: 

لقد جعلت المجموعة المفتوحة للامتثال والأخلاقيات من مصطلح الأداء القائم على 
مبادئ علامة تجارية خاصة بها. حيث يصف هذا المصطلح الحاجة إلى صياغة الأهداف 
المالية وغير المالية للمؤسسة اللازمة لتحقيق جميع الأهداف التى تختارها المؤسسة للأخذ 
بها آثناء توظيف النهج الذي يتسم بالفاعلية والكفاءة والاستجابة لدعم أهداف كل من 
الحوكمة وإدارة المخاطر والامتثال. الفكرة هنا هي أن جميع المؤسسات يجب أن تعمل 
ضمن حدود داخلية وخارجية محددة» حيث تقوم القوى الخارجية كالمتطلبات القانونية 
والتنظيمية بإقامة الحدود الخارجية المفروضة. فالهدف هنا هو العمل على تكامل مبادئ 
وأهداف الحوكمة وإدارة المخاطر والامتثال المساعدة المؤسسة على التحكم بالأداء على 


o‏ دليل المسئول التنفيذي لحوكمة تقنية المعلومات 


اتفاقيات مستوى الخدمات )S1۸45(‏ 


شكل توضيحي )۲-1۷( 
عناصر نموذج قدرة الحوكمة وإدارة المخاطر والامتثال 6۸٣‏ الخاصة بالمجموعة المفتوحة للامتثال 
والأخلاقيات 0616© 





لكي تحقق ال مؤسسة مفهوم الأداء القائم على مبادئ Principled Performance‏ الخاص 
با مجموعة المفتوحة للامتثال والأخلاقيات» فإنه يجب عليها أن تحدد بوضوح رسالتها ورؤيتها 
وقيمها وأن تحدد أيضا الأهداف التي تسعى لتحقيقها. كما يجب أن تحدد اللؤسسة خا 
كيف ستحقق أهدافها في الوقت الذي تتعامل فيه أيضاً مع المخاطر والإشكالات وحماية 
وخلق القيمة وتحديد فرص جديدة: والبقاء ضمن حدود معينة من السلوك الأخلاقي. 
كما يجب على المؤسسة أن تتحرى الشفافية في هذه الخيارات بالنسبة لأصحاب المصالح 
الداخليين والخارجيين. ويجب أن تحاول تحقيق جميع هذه الأمور باستخدام نهج متكامل 
لتحقيق أغلى مستوى ممكن من الأداء. 


دليل المسئول التنفيذي لحوكمة تقنية ابمعلومات or‏ 


القصل السابع عشر 


إن هذه المفاهيم للأداء المبدئي هي العناصر الرئيسية لنموذج قدرة الحوكمة وإدارة 
المخاطر والامتثال الخاصة بال مجموعة المفتوحة للامتثال والأخلاقيات كما هو موضح في 
الشكل التوضيحي )۲-٠۷(‏ والتي تم إعادة صياغتها من المواد الخاصة با مجموعة المفتوحة 
للامتثال والأخلاقيات. الأقسام التالية تصف عناصر هذا النموذج بمزيد من التفصيل. يوجز 
هذا النموذج مجموعة كبيرة من المواد والمفاهيم الرفيعة المستوى التي تحتبر جزءاً من 
نموذج المجموعة المفتوحة للامتثال والأخلاقيات. نشجع القارئ المهتم بالوصول إلى كامل 
التموذج من خلال غنوان الويت المشار إليه سابقا. 


عناصر القدرة والبيئة والثقافة الخاصة بالحوكمة وإدارة المخاطر والامتثال ©612©: 

يعرض الشكل التوضيحي (7-11) كلا من القدرة والبيئة والثقافة على أنها عوامل أو 
عناصر في تموذج الحوكمة وإدارة المخاطر والامتثال الخاص بالمؤسسة. يهدف هذا الشكل 
إلى توضيح البيئة الداخلية والخارجية للأعمال والثقافة الحالية التي تعمل فيها المؤسسة. 
على سبيل ال مثال» يمكن لنظام الحوكمة وإدارة المخاطر والامتثال أن يعالج الأوضاع الراهنة 
وأن يحدد الفرص المتاحة للتكيف مع البيئة والثقافة لتحديد قيم المؤسسة من أجل تحقيق 
النتائج المرجوة بشكل أفضل. وباستخدام الحرف ©) نجد أن هناك أربعة عناصر خاصة بهذا 
المقطع من نموذج GRC‏ الطمنشور وهي: 

1 سياق أو بيئة الأعمال الخارجية. 

2 سباق أو سئة الأعمال الداخلية. 

3 الثقافة. 

4 القيم والأهداف. 

يحرف نموذج قدرة الحوكمة وإذارة المخاطر والامتثال أيضا مجموعة من العناصر 
الفرعية التالية للعنصر 03: 


06 دليل المسئول التنفيذي لحوكمة تقنية المعلومات 


اتفاقيات مستوى الخدمات )S1۸45(‏ 


1 تحليل الثقافة الأخلاقية. 

2 تحليل القيادة الأخلاقية. 

3 تحليل ثقافة المخاطر. 

4 تحليل إشراك مجلس الإدارة. 

5 تحليل ثقافة الحوكمة ونمط الإدارة. 

6 تحليل مشاركة القوى العاملة. 

وكل عنصر من هذه العناصر الفرعية مدعوم بعناصر أكثر تفصيلاً لتوسيع الصورة. 


إضافة إلى ذلك. يحتوي النموذج على مجموعة من البادئ وقاتمة بمصادر الإخفاقات 
الشائعة لكل مبدأ من هذه المبادئ: هذا بالإضافة إلى احتوائه أيضا على إرشادات ومراجع 


طواد دعم إضافية. 


عناصر القدرة والتنظيم والإشراف الخاصة بالحوكمة وإدارة المخاطر والامتثال :G۸٣‏ 

إن هدف الإرشادات الخاصة بال مجموعة المفتوحة للامتثال والأخلاقيات هو تنظيم 
ووصف نظام الحوكمة وإدارة المخاطر والامتثال الذي يتكامل مع عمليات الأعمال القائمة 
والذي هكن أن يعدل فيها أيضاً عند الضرورة. أما تلك المجموعة من العناصر التي تمت 
الإشارة إليها بالحرف © في نموذج المجموعة المفتوحة للامتثال والأخلاقيات فهي تحتوي على 
العناصر الأساسية والفرعية التالية: 


1 النتائج والالتزام: 
1 تحديد نطاق نظام 6110. 
2 تحديد أنماط وأهداف نظام 6۸. 
3 الحصول على الالتزام بنظام 6120. 
2 الأدوار وا مسؤوليات: 
1 تحديد وتمكين قواعد الرقابة وال مساءلة لنظام 6110. 


دلبل المسئول التنفيذي لحوكمة تقنية المعلومات o0‏ 


القصل السابع عشر 


2 تحديد وتمكين أدوار ومسؤوليات الإدارة. 

3 تحديد وتمكين الأدوار والمسؤوليات القيادية. 

4 تحديد وتمكين القواعد التشغيلية لنظام ©612. 

5 تحديد وتمكين أدوار الضمان والمساءلة (مثل الرقابة الداخلية). 

من خلال مخطط كهذا من النقاط الفرعية والنقاط المتفرعة منهاء فإنه يوجد تفصيل 
كاف ليساعد المؤسسة على تأسيس وتنظيم وحدة أو إدارة للحوكمة وإدارة المخاطر 
والامتثال. فهناك مجموعة جيدة من المبيادئىئّ ومصادر الإخفاقات الخاصة بكل من هذه 
المبادئ للمساعدة في تنظيم عملية فعالة في الحوكمة وإدارة المخاطر والامتثال في المؤسسة. 

إن هدف هذا الفصل هو تسليط الضوء على أن نموذج القدرة للحوكمة وإدارة المخاطر 
والامتثال الخاص با مجموعة المفتوحة للامتثال والأخلاقيات (120 © 000806) يحتوي على 
بعض الأدوات الرائعة المساعدة المؤسسة على تأسيس إدارة فعالة للحوكمة وإدارة المخاطر 
بعض الخصائص الرفيعة المستوى ق هذا النموذج. فكل عنصر من هذه العناصر مدعوم 
مزيد من التفاصيل. 

لسنا هنا بصدد التوسع في الحديث عن نموذج المجموعة المفتوحة للامتثال والأخلاقيات 
النموذج للمجموعة المفتوحة للامتثال والأخلاقيات 001:6 الذي يقدم بعض الإرشادات 
الرائعة لمراعاة بعض العناصر الهامة من أجل إيجاد أو وضع عمليات هامة لحوكمة تقنية 
ا ملعلومات. 
عناصر أخرى للمجموعة المفتوحة للامتثال والأخلاقيات :0€٤6G‏ 

بالتأمل في الشكل التوضيحي (۲-۱۷)» سارى أن كل قسم من أقسام هذا النموذج 
يحتوي على أهداف محددة خاصة به. على سبيل المثال: الهدف الإرشادي المعلن للقسم ۸ 
من نموذج المجموعة المفتوحة للامتثال والأخلاقيات المسمى بالتقييم والمواءمة. هو تعزيز 
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الملف الخاص بال مخاطر ق ا منظمة من خلال محفظة من المخاطر والأبالبت والأنة نشطة ق 
هذا المجال. وتتضمن الإجراءات هنا تحديد المخاطر وتحليلها وتحسينها. على سبيل المثال؛ 
الهدف من تحديد المخاطر في النموذج المنشور هو "تحديد الأحداث والقوى والعوامل 
التي يمكن أن تؤثر في تحقيق أهداف الأعمال» متضمنة تلك التي تنشأ نتيجة عدم الامتثال 
للمتطلبات الموضوعة مقتفى القانون أو المعايير أو السياسات الداخلية أو غيرها من 
الحدود." 

بالتأمل في نموذج القدرةء وبالنظر إلى القتسم 7 المسمى باللنع والتعزيز. حيث يهدف 
هذا القسم إلى تشجيع وتحفيز السلوكيات المرغوب فيها ومنع الأحداث والأنشطة غير 
ا مرغوب فيهاء وذلك باستخدام مزيج من الضوابط والحوافز. يحتوي هذا القسم على سبعة 
عناصر منها مدونات قواعد السلوك والضوابط الوقائية وعلاقات وحاجات أصحاب المصالح. 

سنسلط الضوء على عنصر آخر في نموذج قدرة الحوكمة وإدارة المخاطر والامتثال 6120© 
ألا وهو القسم ۸ المسمى بالاستجابة والحل. ويهدف هذا العنصر إلى الاستجابة للأحداث 
التي تنشأ نتيجة لعدم الامتثال والأحداث غير الأخلاقية أو إخفاقات نظام الحوكمة وإدارة 
المخاطر والامتثال. وذلك لتتمكن المؤسسة من حل كل قضية من القضايا العاجلة ومنع 
ول الفا اة عع لا كقاءة وفافلية أكى ومكون هذا ات من هة 
مكونات: 

1 المراجعة والفحص الداخلي. 

2 الاستفسارات والتحقيقات الخاصة بالطرف الثالث. 

3 الضوابط التصحيحية. 

4 الاستجابة للأزمات والاستمرارية والتعافى. 

GRC علاج نظام الحوكمة وادارة الملخاطر والامتثال‎ R5 

إن العديد من هذه الإجراءات يذهب إلى ما هو أبعد من خطوات حوكمة تقنية 
المعلومات التي تم وصفها في فصول أخرى من هذا الكتاب الخاصة بالتحقيق في المخالفات 
المتعلقة با ممارسات الأخلاقية وممارسات الامتثال الخاصة بالمؤسسة. على سبيل المثال» 
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بالنسبة للعنصر الفرعي ۸1 الذي يتناول موضوع المراجعات الداخلية. فإن التوجيه 
هو المراجعة والجاهزية للتحقيق ف المزاعم والمؤشرات الدالة على سوء السلوك أو على 
إخفاقات في نظام الحوكمة وإدارة المخاطر والامتثال للوقوف على الحقائق والظروف 
ا لمحيطة والأسباب الرئيسية وإيجاد الحلول ال مناسبة لها. القاعدة هنا هي أنه لا ينبغي 
مجلس الإدارة والإدارة العليا أن يكونوا أبدا هم الطرف المصدوم: بل يجب أن يكونوا على 
دراية بأي قضية قد تؤثر بشكل كبير في المؤسسة حين وقوعها. 

يدعو المعيار المؤسسة إلى وضع إجراءات وفريق عمل أساسي للتحقيق والبحث أكثر في 
الشكاوى أو في التقارير الخاصة بقضايا الامتثال والقضايا الأخلاقية, وكذلك القضايا التي 
تم الكشف عنها آثناء عمليات الرقابة المستمرة أو التقييم الدوري لنظام الحوكمة وإدارة 
المخاطر والامتثال. يستمر المعيار في الدعوة إلى وضع إجراءات قوية لوضع أمور معينة 
في بؤرة اهتمام الإدارة العليا أو مجلس الإدارة. كما يدعو أحد المعايير التوجيهية الأخرى 
المؤسسة إلى أن تقوم بمراجعة آي حوادث أو بيانات مُبلغ بها بشكل دوريء وذلك لتحديد 
التوجهات» أو مواطن المشاكلء أو الضوابط التي بحاجة إلى تنقيح. وعليه فإن الإجراءات 
المقترحة أقوى مما كنا نتوقع أن نجده في العديد من المؤسسات هذه الأيام. 

وبمزيد من البحث ق العناصر الست الرئيسية للحوكمة وإدارة ا مخاطر والامتثال» نجد 
أن عنصر المتابعة والقياس يقع في الركن العلوي الأيسر من الشكل. حيث يحتوي هذا 
العنصر على الإرشادات الخاصة بإسناد المسئوليات الإدارية» وسلطة صنع القرارء والمساءلة 
من أجل تحقيق أهداف النظام. ويستخدم هذا العنصر الحرف 11 ويتكون من عناصر 
مراقبة وتقييم أداء برامج الحوكمة وإدارة المخاطر والامتثال والبدء بإجراء التحسينات على 
النظم إذا اقتضت الضرورة ذلك. 

يقر هذا العنصر بأن نظام الحوكمة وإدارة المخاطر والامتثال لابد أن يكون مرناً ها فيه 
الكفاية للاستجابة السريعة للتغيرات الداخلية والخارجية التي تحدث في البيئة التي يعمل 
بها. وأن هذا النظام سيكون أكثر فاعلية في حال كانت المؤسسة تقوم بتحديد وتقييم 
التغيرات المتوقعة في الوقت المناسب لتخطيط التعديلات على النظم. كما يقر النموذج 
أيضاً بأن الفشل في الاستجابة لأي تغيرات ضرورية في السياق قد ينتج عنه فشل في معايير 
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حوكمة تقنية ا لمعلومات وف الضوابط الحساسة لنظام الحوكمة وإدارة المخاطر والامتثال. 

يدعو ال معيار المؤسسة أن تقوم باستمرار بمراقبة التغيرات الداخلية والخارجية التى هكن 
أن يكون لها تأثير مباشر أو غير مباشر أو تراكمي على المؤسسة. على سبيل ال مثال» قد تشمل 
التغيرات في المتطلبات الخارجية ما يلي: 

٠‏ القوانين والقواعد واللوائح. 

٠‏ التوجيهات والقرارات الإدارية. 

٠‏ الأحكام القضائية الهامة. 

8 الإرشادات التنظيمية والادعائية. 

« أنشطة متابعة الأوامر وفرضها. 

٠.‏ التزامات الجمعيات التجاريه ومنظمات ا معابير. 

تشر هذه القائمة إلى تحديات خاصة با لؤسسة - خاصة الكبيرة منها وذات الجنسيات 
المتعددة - والتي سوف تواجهها عند محاولتها القيام ممراقبة أحداث مثل القرارات 
الحكومية. في أغلب الأحيان يكون الأمر أكبر من أن يتم إسناد هذه المهمة الرقابية إلى 
مجموعة واحدة للقيام بهذه الطهمة الرقابية, وذلك بسبب اتساع وتنوع ا معلومات. لذلك 
لابد من وجود عمليات معمول بها تحفز الإدارة على اختلاف مستوياتها ومواقعها على 
إرسال تقارير ممجالات التحذير المحتملة إلى مجموعة الإدارة المركزية للحوكمة وإدارة 
المخاطر والامتثال للقيام مزيد من التحقيقات وتخطط الإجراءات. 


القسم [ أو الإبلاغ والتكامل هو آخر عنصر في نموذج الحوكمة وإدارة المخاطر والامتثال. 
وهو يقع قي وسط النموذج الموضح في الكل التوضيحي (۳-۱۷) وهدفه العام يتمثل في 
الحصول على المعلومات الخاصة بنظام الحوكمة وإدارة المخاطر والامتثال وتوثيقهاء وإدارتها 
لكي يتدفق بكفاءة أعلى وأسفل وعبر المؤسسة الممتدة من أصحاب المصلحة الخارجيين 
وإليهم. وهذا يدعو المؤسسة إلى تطوير وتطبيق مجموعة كبيرة من العمليات الخاصة 
بمعلومات نظام الحوكمة وإدارة المخاطر والامتثال كعمليات تصنيف ال معلومات» والحصول 
عليهاء وتخزينهاء وإبلاغها. وعلى الرغم من أنه ليس من الضروري أن يكون لدى المؤسسة 


دليل المسئول التنفيذي لحوكمة تقنية المعلومات o۹‏ 


الفصل السابع عشر 


نظام واحد في كل موقع» فإنه يجب أن تتناغم هذه العمليات من حيث تصنيفاتها وأشكالها 
وقدراتها على الاتصال. 

إن بنية مجموعة نظم الدعم الخاصة بالحوكمة وإدارة المخاطر والامتثال يمكن أن 
تكون أحد العوامل الرئيسية لنجاح نظام معلومات الحوكمة وإدارة المخاطر والامتثال 
بالكامل» لكنها أيضا يمكن أن تكون أحد التحديات الرئيسية لتحقيق النجاح. على غرار 
مبادئ ERM‏ 0050 التي تحدثنا عنها في الفصل الثامن من هذا الكتاب» فإنه يتعين 
على المؤسسة أن تحصل على كمية كبيرة من البيانات والمعلومات المختلفة والعمل على 
تضبيقهاء كما عب أن يكون لدا القدرة أيضا على الول على لك المواه للها والرة 
على الاستفسارات الواردة. 


نموذج المجموعة المفتوحة للامتثال والأخلاقيات 0٤٤6‏ وحوكمة تقنية 
المعلومات: 

إننالم نصل بعد إلى النقطة التي عندها مكن للمديرين ذوي الاختصاص استخدام 
محرك البحث جوجل في البحث عن "نظم مراقبة الامتثال لنموذج الحوكمة وإدارة المخاطر 
والامتثال 6186 الصادر عن المجموعة المفتوحة للامتثال والأخلاقيات "0٤۴٤6‏ للحصول على 
قائمة بالباعة المناسبين الذين يعرضون برمجيات نظم مراقبة الامتثال الخاصة ب 0٣٤6‏ 
0 نتيجة لعملية البحث. يوجد العديد من الأساليب للحلول إلا أن هناك القليل من 
الحلول الفردية الواضحة. أحد مجالات الحلول المحتملة يمكن أن نجدها في نظم السجلات 
الإلكترونية الطبية في الملستشفيات Electronic Medical Record Systems (EMR5)‏ 
ويتم تسجيل كل نشاط من الأنشطة الخاصة با مريض» بدءا من نتيجة الفحوضات ال معملية. 
إلى ملاحظات الطبيب إلى الأدوية الموصوفة. والكثير غيرها على نظام 51/1125 بغرض 
استرجاعها فيما بعد من أجل الاستخدام الحالي لها أو لأغراض الأرشفة. يجب أن يحتوي 
نظام المعلومات الفعال لنموذج قدرة الحوكمة وإدارة المخاطر والامتثال على العديد من 
هذه العناص. 

لقد أوجزت الأقسام السابقة العديد من عناصر نموذج القدرة للحوكمة وإدارة المخاطر 
والامتثال الصادر عن المجموعة المفتوحة للامتثال والأخلاقيات 6۸٣‏ ©0018 على مستوى 
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عال للغاية. إلا أن هناك نماذج أخرى تدعو إلى اتباع نهج أكثر تفصيلا وفي بعض الأحيان 
يكون أكثر اعتماداً على الضوابط الإدارية. في جميع الأحوال فإن وصفنا الرفيع المستوى 
هنا للموضوع لا يقدم دراسة كاملة بالشكل الذي مكن أن نجده في ١١-صفحة‏ من 
المنشور الخاص بالمجموعة المفتوحة للامتثال والأخلاقيات ©0008 وفي شكله الأساسي» مع 
المزيد من التفاصيل في وثيقة موسعة. مما يشجع القارئ المهتم للقيام بالمزيد من البحث 
والتحقيق في نموذج .OCEG GRC‏ 

إن زيارة موقع الويب الخاص بالمجموعة المفتوحة للامتثال والأخلاقيات سيسمح 
بالوصول غير المحدود إلى مجموعة متنوعة من المواد. بعضها للاطلاع والبعض الآخر مخصص 
للمشتركين. وهي المواد ذات الأهمية الخاصة مثل الكتاب الأحمر وهو عبارة عن وثيقة 
تقييم لدعم إرشادات نموذج القدرة الخاص بالمجموعة المفتوحة للامتثال والأخلاقيات. 
والغرض منه تزويد ال مختصين في مجال الحوكمة وإدارة ال مخاطر والامتثال مجموعة عامة 
من الإجراءات المستخدمة في التقييم والتي تتفق مع نموذج قدرة الحوكمة وإدارة المخاطر 
والامتثال الموضح سابقاء وكذلك إرشادات حول ما يمكن توقعه خلال عملية تقييم أي نظام 
للحوكمة وإدارة المخاطر والامتثال» مع مجموعة من الأهداف التي تساعد المؤسسة في 
تقييم فاعلية تصميم وتشغيل نظام الحوكمة وإدارة المخاطر والامتثال الخاص بهاء وكذلك 
خفض تكلفة تلك التقييمات من خلال تقديم إجراءات محددة. كما يهدف هذا ال منشور 
إلى رفع مستوى نضج وجودة العمليات الخاصة بالحوكمة وإدارة المخاطر والامتثال الخاص 
با مؤسسة»ء وذلك من خلال تقديم المساعدة في وضع خطط تحسين محددة الأولوية وتوفير 
مصدر خارجي للحكم والاعتراف بهذه الممارسات. 

مستوى ونطاق سلطة وضع ال معايير للمجموعة المفتوحة للامتثال والأخلاقيات ©6013 0: 

كما أكدنا سابقاء فإن المجموعة المفتوحة للامتثال والأخلاقيات لا تمتلك حتى الآن سلطة 
وضع المعاییر كما هو حال المنظمات الأخرى مثل 208078 والأيزو 150. هذا بالإضافة إلى 
انه بالرغم من إصدارها للعديد من المواد الإرشادية القويةء فإن هذه المواد لا تزال تفتقر 
للقبول والاعتراف العالي المستوى من قبل الآخرين حتى الآن. ومع كل هذاء فإننا نشعر 
بأن أهمية المجموعة المفتوحة للامتثال والأخلاقيات والمواد الإرشادية الخاصة بها ستنمو في 
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السنوات القليلة القادمة نظرا لنمو الاهتمام بالعمليات الفعالة للحوكمة وإدارة المخاطر 
والامتثال وزيادة الحاجة إليها. 

إن إحدى نقاط القوة الرئيسية للمجموعة المفتوحة للامتثال والأخلاقيات هي أنها 
منظمة تطوعية بالكامل تدار من قبل أعضاء من المنظمات الراعية وقد تم تشكيل مجلس 
إدارة لها من هؤلاء الأعضاء. وتضم قائمة الرعاة كبرى شركات المحاسبة العامة مثل برايس 
ووترهاوس - كوبرس 007615)-21166113]611101156 وجرانت ترونتون 1120121013 .Grant‏ 
هذا بالإضافة إلى العديد من الرعاة الرتيسيين من قادة صناعة تقنية المعلومات أمثال 
أوراكل 46 وساب 542 وكذلك رعاة الصناعة الأمريكية ٤‏ المقاه الأول من شركات 
مثل عون 4015 وهي إحدى الشركات الكبرى للتأمين ومتاجر التجزئة وول مارت 113152314. 
فإذا كان هناك أي قلق أو خوفء فمن الواضح بأنه سيكون متوقفا على المنظمات الراعية 
وأعضاء اللجنة الخاصة بال مجموعة 0©186. فهذه المجموعة ليست أكثر من أن مقرها 
الولايات المتحدة وليست منظمة دولية بالمعنى الحقيقي. وفي عال نا المفتوح هذه الأيام 
نحن بحاجة إلى المزيد من التركيز على المواصفات العاطية. 


قيمة تقنية المعلومات 1١۳‏ ۷۸1: تحسين قيمة استثمارات تقنية المعلومات: 
وجدّت جميع المؤسسات سوء كانت كبيرة أو صغيرة لتقدم قيمة للمستفيدين من 
خدماتها. وتواجه هذه الملؤسسات تحديا ا E,‏ فيما بخص ضمان تحقيقهم 
للقيمة من استثماراتها المعقدة والمتزايدة بدرجه كبيرة في موارد تقنية المعلومات. وقد 
قام معهد حوكمة تقنية المعلومات (11)11) 1251601 Governance‏ 11 الذي تم تقدهه 
للمرة الأولى في الفصل الخامس من هذا الكتاب» بإصدار مجموعة من المواد المتعلقة بأفضل 
الممارسات التي أطلق عليها اسم «قيمة تقنية المعلومات»'' '11 1121 لمساعدة المؤسسة على 

علاج هذا التحدي وتحقيق قيمة من تلك الاستثمارات القائمة على تقنية المعلومات. 
تحاول 1١‏ ۷41 أن تعالج المشاكل المتعلقة بإدارة وحوكمة تقنية المعلومات التي تواجهها 
الإدارة على اختلاف مستوياتها. حيث إن تقنيات وممارسات تقنية المعلومات دائمة التغير 
والتكيف تبعا لممارسات الأعمال الجديدة. فكثيرا ما تستثمر المؤسسات ف النظم والإجراءات 
الجديدة والمنقحة مع قليل من التخطيط والبحث الإضاق» خث سرعان ما تكشيف أن 
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هذه المبادرات الجديدة لا تعمل كما هو مأمول أو أنها تحتاج إلى استثمار حجمه أكبر بكثير 
مما هو متوقع. إننا نواجه هذا الموقف كثيراً على سبيل المشال» عندما يصاب المدير المالي 
التنفيذي بالإحباط جراء بعض القصور في النظم المالية الخاصة با مؤسسة. فيقوم هو شخصيا 
بالبحث عن أفضل الحلول الممكنة في العروض التجارية المقدمة من الموردينء ثم يعمل على 
تشجيع إدارة تقنية المعلومات على تبني واعتماد هذا الحل. وفي ظل هذا الضغط من أحد 
أعضاء الإدارة العليا ولكن بقليل من البحث والتحقيق التفصيلي فيما يخص هذا الشأنء فإن 
المؤسسات في بعض الأحيان تبادر في استثمارات جديدة في تقنية المعلومات بتكاليف باهظة 
دون الحصول قيمة حقيقية من تلك الاستثمارات. يعد11 1731 أحد أطر العمل التي تحتوي 
على أفضل الممارسات للحوكمة: وهذا يتفق إلى حد كبير مع إطار أهداف ضوابط ال معلومات 
والتقنيات ذات الصلة (كوبت) والذي تم الحديث عنه في الفصل الخامس من هذا الكتاب. 
يتكون إطار العمل كوبت من مجموعة من المبادئ الإرشاذية وعدد من العمليات الموصى 
بها والمرتبطة بتقنية المعلومات والتي تتفق مع هذه المبادئ وا ممارسات الرئيسية في الإدارة. 
في حين يشكل الإطار 1١‏ 1731 مجموعة كاملة من الأنشطة البحثية وا لمطبوعات والخدمات 
الإضافية التي تدعم الإطار الرئيسي لقيمة تقنية المعلومات ۷411١‏ كما هو موضح في الشكل 
التوضيحي (۳-۱۷). وعلى الرغم من أن الإطار كوبت يحدد ممارسات جيدة "للوسائل" التي 
تسهم في عملية خلق القيمةء فإن الإطار 1١‏ ۷۵1 يحدد ممارسات جيدة لتحقيق "الغايات", 
وذلك من خلال تزويد المؤسسات بالهيكل الذي تحتاج إليه لقياس ومراقبة وتحسين عملية 
تحقيق قيمة الأعمال من استثماراتها في مجال تقنية ا معلومات. 

إن العديد من المؤسسات هذه الأيام بغض النظر عن حجمها وإيراداتها وصناعاتها 
وموقعها وأنشطة أعمالهاء تقوم باستثمارات واسعة النطاق في مجال نظم تقنية المعلومات 
وموارد تقنية المعلومات ال مرتبطه بها. ومع ذلكء؛ وقي حالات كثيرة جداء فإنه وببساطة 
لايتم تحقيق تلك القيمة لتقنية المعلومات. على سبيل المثالء في عام ۲۰١۷‏ أوضحت 
الدراسة التي أجرتها شركة جارتنر 6811265 المتخصصة في أبحاث تقنية المعلومات أن ٠١‏ 
من إجمالي النفقات في تقنية المعلومات قد تم إهدارها'". وهذه النتيجة توضح أن إجمالي 
الهدر على الصعيد العالمي نحو ٠٠١‏ مليار دولار أمريي سنويا. وفي دراسة مشابهة أجرتها 
شركة جولدمان ساكس 586125 01012211) عام ۲۰۰۹ على عدد من المديرين التنفيذيين 


دليل المسئول التنفيذي لحوكمة تقنية ا معلومات 0 


الفصل السابع عشر 


للمعلومات 0105 والمصنفين بأنهم أكبر ٠٠٠١‏ مدير تنفيذي للمعلومات» وجدت أن ما 
يقرب من ٤١‏ في المتوسط من إجمالي النفقات في مجال تقنية المعلومات لا عائد منها على 
المؤسسة”. النقطة الرئيسية هنا هي أن العديد من المؤسسات لا تقوم بقياس أو تقييم 
قيمه چن الجارية في مجال تقنية المعلومات. وهذا يعد خسارة كبيرة من منظور 
حوكمة تقنية المعلومات. 


شكل توضيحي (۳-۱۷) 


إطار عمل قرمة تقنية المعلومات '11 1١781‏ 





تقدم ال مواد“ الخاصة بالإطار 1١‏ ۷1 الصادر عن معهد حوكمة تقنية المعلومات 1161 
إرشادات خاصة بتقييم القيمة المكتسبة من استثمارات تقنية المعلومات. إن إيجاد قيم 
معتمدة على تقنية امعلومات» فضلا عن أنها ليست بالأمر السهلء فإن معظم المؤسسات 
يظهر عليها واحد أو أكثر من الأعراض التالية التي تم تلخيصها واقتباسها من المواد المنشورة 
والخاصة بإرشادات الإطار 1١‏ 1/21. 


6ج 02020202020200 ذليل المسئول التنفيذي لحوكمة تقنية المعلومات 





اتفاقيات مستوى الخدمات )S1۸5(‏ 


٠‏ مشاكل في تقديم القدرات التقنية: إن إدارات تقنية المعلومات لدى العديد من 
اممؤسسات لبست على مستوىق كاف من النضج الو بتقديم القدرات التقنية اللازمة 
لدعم العمليات التشغيلية للأعمال ولتمكين تغير الأعمال على نحو كاف وفعال. وهذا 
التحدي يسلط الضوء على ضرورة تحسين عمليات حوكمة وإدارة تقنيه المعلومات إما قبل 
أو بالتزامن مع تقديم ممارسات إدارة القيمة. 

٠‏ محدودية أو عدم معرفة نفقات تقنية المعلومات: في كثير من الأحيان نجد أن كبار 
المديرين في المؤسسة يفتقرون للرؤية الواضحة الكافية فيما يتعلق بالنفقات الخاصة 
بتقنية المعلومات؛: وكذلك الاستثمارات في مجال تمكين تقنية ال معلومات في جميع الخدمات 
والأصول وغيرها من موارد تقنية المعلومات لديهم. ونجد في أغلب الأحيان أن صناع 
القرار يمكنهم فقط توقع حجم الإنفاق على الاستثمارات الخاصة بتقنية المعلومات وحجم 
الفائدة التي ستعود ا 58 هذا الإنفاق وما ممكن أن تكون عليه الجدوى الاقتصادية 
الكاملة جراء هذا الالتزام. ويتم تمويل النفقات غالبا من ميزانيات غير منسقة. مما 
يؤدي إلى ازدواجية وتضارب كبيرين في عملية طلب الموارد. هذا بالإضافة إلى أنه في كثير 
من الأحيان نجد أن الإدارة لا تركز على قضايا حساب التكاليف والتسعير الخاصة بتقنية 
ا معلومات في مراجعاتها الخاصة بوضع ميزانيات تطبيقات تقنية ا معلومات. 


٠‏ تنازل الأعمال عن عملية صنع القرار لصالح إدارة تقنية المعلومات: عندما تكون الأدوار 
والمسؤوليات والمساءلات المتعلقة بإدارة تقنية المعلومات ف المؤسسة غير واضحة: عندها 
ستقوم إدارات تقنية المعلومات بانتزاع مقعد القيادة. وتحديد الاستثمارات المطلوبة في 
مجال الأعمال المعتمدة على تقنية المعلومات التي يجب البدء بهاء إذ إنها تقوم بوضع 
أولويات لتلك الاستثمارات من وجهة نظرها المحدودة مما يؤدي بشكل غير صحيح إلى 
تجريد الأعمال من مسئولياتها في تحديد الجدوى الاقتصادية والدفاع عنها والتي تستخدم 
لتبرير كل قرار من القرارات المتعلقة بالاستثمار في مجال تمكين تكنولوجيا ال معلومات. 

٠‏ ضعف التواصل بين إدارات تقنية المعلومات والأعمال: يعتبر التعاون الوثيق بين إدارات 
تشغيل تقنية المعلومات وإدارات الأعمال الأخرى بمثابة القضية الحاسمة في عملية خلق 
القيمة المكتسبة من تقنية المعلومات. فعند غياب مثل هذه الشراكة» سيتأثر التواصلء 


دليل المسئول التنفيذي لحوكمة تقنية امعلومات oro‏ 


الفصل السابع عشر 


وتتزايد أوجه القصورء ويظهر الفشل في أوجه التوافق في النشاط وتأخذ ثقافة التنصل 
وإلقاء التهم واللوم في الانتشار داخل بيئة العمل. في بعض الحالات نجد أن إدارة تقنية 
المعلومات تتحول كثيراً إلى دور التابع بدلا من دور ال مبتكر. كما يتم إشراكها ف الاقتراحات 
الخاصة بالاستثمارات في وقت هتار عدا عن عملية اتخاذ القرار لدرجة لا تستطيع معها 
أن تسهم في هذه الاستثمارات بقيمة كبيرة. وفي حالات أخرى يتم إلقاء اللوم على إدارة 
تقنية المعلومات لعدم تقدمها لقيمة من الاستثمارات الخاصة بتمكين تقنية المعلومات 
- وهي القيمة التي لا مكن تحقيقها إلا من خلال الشراكة بين إدارة تقنية ا معلومات 
وإدارات الأعمال الأخرى. 

٠‏ التشكيك في قيمة تقنية المعلومات: مما يثير السخرية » أنه على الرغم من استمرار 
المؤسسات في الاستثمار أكثر وأكثر في الموارد التقنية» فإن العديد من كبار المسؤولين 
التتقيذية تمائلون كوا عول ما إذا كانت القيعة اللتاسية هن هذه الاستقمارات قد الم 
تحقيقها بالفعل أم لا. حيث يكون التركيز الأكبر غالبا على إدارة التكاليف الخاصة بتقنية 
المعلومات بدلا من فهم وإدارة ومحاولة الاستفادة من الدور الذي تلعبه إدارة تقنية 
المعلومات في عملية خلق قيمة ملموسة من الأعمال. فعندما تنطوي استثمارات تقنية 
المعلومات على تغيرات تنظيمية كبيرة ویشکل متزاںدء فإن او و التركيز من 
التكلفة إل القيمة سيظل مخفا ليكون هو العائق قق الأكبر أمام تحقيق القيمة المرجوة من 
هذه الاستثمارات المتعلقة بتقنية المعلومات. 

٠‏ إخفاقات كبيرة في الاستثمارات: عندما تتعثر مشاريع تقنية المعلومات» فقد تكون 
تكاليف الأعمال المرتبطة بها هائلة ومرئية بشكل ملحوظ. حيث يمكن أن تؤدي عملية 
إلغاء المشاريع إلى آثار غير متوقعة ومكلفة جدا في الأعمال كما أن التجاوزات التي تحدث 
في الميزانية المخصصة يكن أن تؤدي إلى حرمان المشاريع الأخرى من الوارد الحيوية 
الخاصة بها. وف كثير من الأحيان يتم تجاهل هذه المشاكل حتى تصل إلى حد يكون فيه 
الوقت متأخراً لاتخاذ أي إجراء تصحيحي. 

مكن مشاهدة هذه الإعراضر في العديد من إدارات تقنية المعلومات المؤسسية. ففي 
كثير من الأحيان نجد أن إدارة تقنية المعلومات تقود شركاءها في الأعمال من خلال الطلبات 


or"‏ دليل المسئول التنفيذي لحوكمة تقنية المعلومات 


اتفاقيات مستوى الخدمات (51.45) 


الخاصة بوضع أولويات وطرح خدمات جديدة دون النظر إلى قيمتها الإجمالية التي ستعود 
على المؤسسة جراء تلك النفقات. لذا يجب أن تعمل مواد الإطار ۷411١‏ على تشجيع 
جميع المشاركين على أخذ نظرة أعمق على القيمة العائدة من استثمارات تقنية اينات 
وخدماتها. وربمما الأهم من ذلك هو أن يعطي الإطار ۷11١‏ الفرصة لكبار المديرين للتركيز 
على المجالات المتعلقة بتحقيق قيمة أكبر من العمليات الخاصة بحوكمة عمليات تشغيل 
تقنة المعلومات. 
إطلاق مبادرة لإدارة القيمة المكتسبة من تقنية المعلومات: 

تم تصميم المواد الخاصة بإطار العمل ۷3111 الصادر عن معهد حوكمة تقنية المعلومات 
1 لتوفير الإرشادات لإدارات تقنية المعلومات في المؤسسة والإدارة العليا التي تقوم 
بتمويل موارد تقنية المعلومات وجميع أصحاب المصالح المستفيدين من تلك الأنشطة 
القاصة يتقنية اللعلومات. :من ناحية أخرى: ونظرا لأن هذه الأرقادات الخاصة يأفضل 
المماربات تشر هن قبل اعرد المصادر ذات الصلة بجمعية ضبط نظم المعلومات وتدقيقها 
4 (وليس على سبيل امثال في أحد مطبوعات عضو مجلس إدارة قي مؤسسة).ء فإن 
هذه الإرشادات م تلق الاهتمام اللازم والكافي من قبل الإدارة العليا. ومع ذلك يعد الإطار 
١‏ 1 أحد مجموعات المواد الرائعة اللازمة لدعم حوكمة تقنية المعلومات ودعم عمليات 
تحسين الضوابط الداخلية. 

يجب على الإدارة العليا أن تناقش المسائل المتعلقة بالقيمة المكتسبة من تقنية ا لعلومات 
مع كل من إدارة تقنية المعلومات وإدارة عمليات التشغيل. والتفكير في إطلاق مبادرة 
لإدارة القيمة اة من تقنية المعلومات. إن أحد أفضل الطرق للعرفة جاهزية المؤسسة 
للبدء في برنامج لإدارة القيمة المكتسبة هي مراجعة وتقييم المبادئ الخاصة بالإطار 1١‏ 7731 
ومدى التزاماته للعمل على تنفيذها. وتتضمن هذه المبادئ ما ياي: 


ه يجب أن تدار استثمارات تقنية ا معلومات كمحافظ استثمارية. كما وضحنا في الفصل 
الرابع عشر من هذا الكتاب. 
٠‏ يجبا أ تتضمن استثمارات تقنية اللعلومات النطاق الكامل للآنش طة اللازمة لتحقيق 


القيمة المكتسة للأعمال من هذه الاستثمارات. 


دلبل المسئول التنفيذي لحوكمة تقنية المعلومات ov‏ 


الفصل السابع عشر 


٠‏ يجب إدارة استثمارات تقنية ا ملعلومات من خلال دورات الحياة الاقتصادية الكاملة 
الخاصة بها. 

٠‏ ينبغي أن تعي جميع الممارسات الخاصة بتقديم القيمة في جميع أنحاء المؤسسة بأن 
هناك فئات مختلفة من الاستثمارات» ومن ثم فإنه يتم تقييم وإدارة تلك الاستثمارات 
بطرق مختلفة. 

يجب على ممارسات تقديم القيمة أن تحدد وتراقب المقاييس الرئيسيةء وأن تستجيب 
بشكل سريع لأي تغيرات أو انحرافات. 

ه يجب على ممارسات تقديم القيمة إشراك جميع أصحاب المصالح في المسؤولية المناسبة 
وتقديم القدرات وتحقيق الفوائد الخاصة بالأعمال في ظل وجود المراقبة والتقييم 
وعمليات التحسين المستمرة. 

بالمؤسسة- أو يجب أن يكونوا - هم المعنيين بشكل مباشر بالإشراف على الممارسات الخاصة 

بإدارة القيمة أو تنفيذها: فاسعنادا إلى لواد الخاصة بإطار 11 1ة لا بد من عقد لقاء ما 

بين مديري تقنية المعلومات ومديري الأعمال في المؤسسة لتقييم مدى استعدادهم للانتقال 
نحو إدارة قيمة تقنية المعلومات. ويقدم الشكل التوضيحي )6-١7(‏ مجموعة من الأسئلة 
والتأكيدات لمدى استعداد إدارة تقنية المعلومات لتقييم جاهزية المؤسسة للانتقال نحو 

إدارة تلك القيمة المتمثلة في تقنية المعلومات. 


يتعين على إدارة تقنية المعلومات التأمل في هذه الأسئلة والنقاط الموضحة بالشكل 
التوضيحي )6-١1/(‏ فيما إذا كانت المؤسسة وفريق إدارة عمليات التشغيل على علم بأهمية 
إدارة القيمة المكتسبة وأنهم قاموا باتخاذ الخطوات اللازمة نحو تطبيق هذا المفهوم. بكل 
تأكيد فإن جميع الأطراف - إدارة تقنية المعلومات وإدارة عمليات التشغيل - بحاجة إلى 
إقناعهم بأهمية إدارة القيمة المكتسبة من تقنية ا معلومات. 


O۴۸‏ دليل المسئول التنفيذي لحوكمة تقنية المعلومات 


اتفاقيات مستوى الخدمات )S1۸45(‏ 


شكل توضيحي )٤-۱۷(‏ 
تقييم الجاهزية لإدارة القيمة المكتسبة من تقنية ا معلومات 

.١‏ هل جميع ااا تقنية ا لمعلومات سواء كانت تطبيقات أم شبكات أو الاتصالات الخاصة 
بالخوادم» تدار كمحفظة استثمارية؟ 

۲. هل تتم إدارة جميع استثمارات تقنية المعلومات لتشمل النطاق الكامل للأنشطة المطلوبة لتحقيق 
أهداف الأعمال المرجوة من تلك الاستثمارات؟ 

#. هل تدار استثمارات تقنية المعلومات من خلال ذورات الحباة الاقتصادية الكاملة الخاصة بهاء 
ابتداء من تكاليف إطلاق الاستثمار أو شرائه مرورا بتكاليف التشغيل الاعتيادية وصولا إلى نهاية 
الاستثمارات؟ 

.٤‏ هل تدرك تقنية المعلومات والإدارة بأنة يجب أن يكون هناك فئات مختلفة من الاستثمارات 
المتعلقة بتقديم القيمة. حيث يجب أن تتم إدارتها وتقييمها بشكل مختلف؟ 

ه. هل لدى عملية تقديم القيمة مقاييس رئيسية تم تحديدها متابعة أي تغيرات أو انحرافات والرد 
عليها بشكل سريع؟ 

7. هل يبدو على الممارسات الموضوعة ن القيمة المكتسبة أنها تقوم بإشراك أصحاب المصالح 
وإسناد المساءلة التاسبة لتقديم القدرات وتحقيق المنافع والفوائد الخاصة بالأعمال؟ 


القيمة؟ 





تدعو الإرشادات المنشورة والخاصة بإدارة القيمة المؤسسة إلى أن تشارك بشكل أكير 
في أفضل الممارسات الخاصة بإدارة القيمة. فهي تدعو المؤسسات وأصحاب المصالح ممن 
لديهم رؤية مبدئية فيما يخص إدارة القيمة إلى تطوير الفهم والوعي والالتزام بالمبادىئ 
وا لممارسات الخاضة بإدارة القيمة. واستنادا إلى هذا التقييم المبدن» يمكن البدء بتحليل 
a Î‏ خخ aa‏ غلن E‏ العاصة بإظار REIT SES‏ 
فيما يتعلق بحوكمة القيمة المكتسبة وإدارة المحافظ وإدارة الاستثمارات الخاصة بتقنية 
المعلومات. 


دلبل المسئول التنفيذي لحوكمة تقنية المعلومات 0۳۹ 


الفصل السابع عشر 


الشروع في إدارة القيمة المكتسبة: 

تعتبر المفاهيم الخاصة بإطار 1١‏ 181 هامة بالنسبة للحوكمة الفعالة لتقنية المعلومات. 
ومن الطرق الفعالة للبدء في عملية إدارة القيمة المكتسبة تقييم الجاهزية الحالية من 
خلال استخدام أسئلة تقييم الجاهزية الموضحة في الشكل التوضيحي .)٤-۱۷(‏ وبمجرد 
إتمام هذا التقييم» فإن النتائج ستقدم لنا الأساس اللازم لتحديد المطلوب إضافته من الحالة 
الحالية لإدارة القيمة المكتسبة إلى الحالة المستقبلية لهاء ووضع أوليات لما يجب تطويره. 


اسهاذا آل لهاد المتشورة الخاضة بإطار العمل 1۴ 1ة والضادرة عن معيد خوكةة 
نقنرة المسلوعات 11161 فإن القطوات العم التالية لقص كف مكن تطييق اطان آذ 
117 وإدارة القيمة المكتسبة في المؤسسة. وقد تكون الاختلافات بين المؤسسات كبيرة. لذلك 
فإن اط مواد الإرشادية الخاصة بإطار صف فقط عدد! ا من نقاط البدء. 


خطوة :)١(‏ بناء الوعي والفهم لإدارة القيمة: نجد في العديد من المؤّسسات أن صناع 
القرار وأصحاب المصالح الرئيسيين لا يقدرون أهمية خلق القيمة المكتسبة أو الحاجة إليها 
كما يجب. فهذا المفهوم الخاص بالقيمة المكتسبة لا يظهر بشكل طبيعي من خلال خطط 
وأنشطة الأعمال الاعتيادية فحسب؛ بل يلزم أن يتشكل بفاعلية. ولعل المشكلة هنا تظهر 
في أنه على الرغم من أن مفاهيم إدارة القيمة المكتسبة موجودة منذ عقود, فإن فكرة إيجاد 
القيمة والحفاظ عليها من خلال تغيير الأعمال في المؤسسات الحديثة يكون التعامل معها 
عادة على آنها منداً ضمني. 

بالنسبة للعديد من المؤسسات لا يوجد هناك فهم موحد ومشترك للا يمكن أن يشكل قيمة 
للمؤسسة؛ وما مستوى العمل والجهد امطلوب لتحقيق تلك القيمة أو كيف يمكن قياس تلك 
القيمة. مما كان له بالغ الأثر في العديد من المؤسساتء وضياع أو فشل تنفيذ العديد من 
الفرص التي كان من شأنها إيجاد القيمةء مما أدى إلى تآكل مفهوم القيمة أو تدميره. 

إن مديري العمليات التشغيلية والمديرين اطاليين ومديري تقنية المعلومات ق اللؤسسة 
بحاجة إلى إيجاد قاعدة واسعة من الوعي بضرورة الحاجة إلى إدارة القيمة وتنشئة الوعي 
ماهو مطلون التظوير هذة القدرة متضمنا ذلك التزامات ذاخلية قوية خاصة بالإذارة 
والسلطه التنفيذية لتحسين إيجاد القيمة والإبقاء عليها مرور الوقت. 


كه ديل المستول التنفيذي لحوكمة تقنية اللعلومات 


اتفاقيات مستوى الخدمات (5فخ.1؟) 


في ظل الفهم القوي لإدارة القيمة. يجب أن تتغير السلوكيات التنظيمية والفردية لإلقاء 
نظرة أوسع على مستوى المؤسسة بالكامل واتباع نهج أكثر انضباطا واعتماداً على القيمة 
لصنع القرار. كل هذا من شأنه أن يؤدي إلى الإدراك والقبول المتزايد لضرورة أن تعمل 
إدارات تقنية المعلومات مع غيرها من إدارات الأعمال معا في إطار من الشراكة المدعومة 
بأدوار. ومسئوليات ومساءلات واضحة تتعلق بإدارة القيمة, مما يقودنا إلى تحقيق قيمة 
أكبر من الاستثمارات الخاصة بتمكين تقنية المعلومات. 

خطوة (؟): تطبيق حوكمة قوية لتقنية ا معلومات: إن العمليات والأدوار والمسؤوليات 
وا مساءلات المرتبطة بتحقيق القيمة المكتسبة من الاستثمارات الخاصة بتمكين تقنية 
المعلومات بحاجة إلى تحديد وقبول بشكل واضح. ففي كثير من الأحيان تكون الأدوار 
واللسؤؤليات واللساءلات الخاصة بتقنة الاخلوفات غير واضحة [ذاها قورقت ترخا من 
إدارات الأعمال. في بعض الأحيان يتم صنع القرارات المرتبطة بالأعمال من قبل إدارة تقنية 
المعلومات» في حين أن القرارات المرتبطة بتقنية المعلومات يتم صنعها من قبل الأعمال. في 
بيئة كهذه تكون ثقافة اللوم والتنصل وإلقاء التهم هي السائدة. وذلك في ظل الالتباس 
ا مستمر فيما يخص المساءلة والمسؤولية والرعاية. 

تحتاج المؤسسة إلى وضع إطار عمل خاص بحوكمة تقنية المعلومات مع تحديد 
واضح للأدوار والمسؤوليات والمساءلات. ويتبغي أن يكون هذا الإطار مدعوما بقيادة 
قوية وملتزمة» وعمليات مناسبة»ء وهياكل ومعلومات تنظيميةء ونظام مكافات ملائم. ني 
ظل إطار لحوكمة المعلومات مثل هذا يجب أن تنمو التوجهات والسلوكيات التنظيمية: 
والفردية نحو رؤى أعمق وأكثر إستراتيجية للمؤسسة. لذا يتعين على المسؤولين التنفيذيين 
ومديري تقنية المعلومات وعمليات التشغيل أن يعتمدوا نهجا أكثر انضباطا واعتمادا على 
القيمة المكتسبة في اتخاذ قراراتهم ومساءلاتهم. ففي ظل وجود حوكمة قوية لتقنية 
المعلوماتء ينبغي أن تؤدي البيئة الأكثر كفاءة في صنع القرار إلى رفع مستوى الثقة بين 
إدارة تقنية المعلومات وباقي إدارات الأعمال الأخرى. وستكون النتيجة تحقيق قيمة أكبر 
من الاستثمارات الخاصة بتمكين تقنية المعلومات. 


دليل المسئول التنفيذي لحوكمة تقنية المعلومات اغه 


الفصل السابع عشر 


خطوة ("): إجراء جرد لاستثمارات تقنية المعلومات: بالنسبة للعديد من المؤسسات» 
هناك رؤية ضعيفة» هذا إن وجدت» فيما يتعلق بعدد ونطاق وتكلفة الاستثمارات الخاصة 
بتمكين تقنية المعلومات الحالية والمخطط لها أو الموارد. سواء المخصصة للاستثمارات أم 
اللازمة لدعم تلك الاستثمارات. في كثير من الأحيان يكون إجمالى نفقات تقنية المعلومات 
في المؤسسة غير معلوم. وتأتي هذه النفقات غالبا من ميزانيات مختلفة وغير منسقة وبقدر 
كبير من الازدواجية. قفي العديد من المؤسسات يحدث عادة صراع كبير على طلب اللموارد 
الخاصة بتقنية المعلومات. 

ولحل هذه المشكلة لا بد للمؤسسة من إنشاء محافظ للاستثمارات والخدمات والأصول 
وغيرها من الموارد المتعلقة بتقنية المعلومات سواء كانت مقترحة أم فعلية. وهذا المفهوم 
أكبر حتى من أفضل ال ممارسات للإطار آيتل الخاصة بإدارة التهيئة والتى تمت مناقشتها 
في الفصل السادس من هذا الكتاب. ونتيجة لعملية إنشاء هذه اف لا بد أن يتخير 
السلوك والتوجهات التنظيمية والفردية لتشمل الرؤية الواسعة للمؤسسة. لذالا بد من 
وجود العمليات والممارسات المعمول بها لدعم ذلك. 

أهم الفوائد التي تعود من عملية جرد كهذه للاستثمارات الخاصة بتقنية المعلومات 
هي زيادة الفهم والإدراك لمعرفة ما تم إنفاقه بالضبط وعلى أية استثمارات تخص تقنية 
المعلومات» وفي أي مجال من مجالات الأعمال كانت تلك الاستثمارات» ومن هو المسئول 
عنها. الفائدة الأخرى هي التحديد الأفضل للفرص لزيادة القيمة المكتسبة من خلال ضبط 
عملية تخصيص التمويل: والحد من التكلفة الإجمالية للمؤسسة عن طريق إزالة التكراراتء 
والاستخدام الأكثر فاعلية للمواردء وتقليل المخاطر من خلال الفهم الأفضل لتلك الملحافظ 
الخاصة بتقنية المعلومات. 

خطوة :)٤(‏ توضيح قيمة الاستثمارات الفردية لتقنية ا لمعلومات: بالنسبة للعديد من 
المؤسسات إن لم يكن معظمهاء لا توجد عملية تطبيقية تتم بشكل متناغم لتحديد قيمة 
الاستثمارات المحتملة أو الحالية لتقنية المعلومات. إنما مكن تحديد هذه القيمة بأنها صافي 
إجمالي فوائد دورة الحياة من إجمالي تكاليف دورة الحياة المهيئة للمخاطر وعلى أساس القيمة 
الزمنية للأموال. ونتيجة لذلك. فإن بعض أصحاب المصالح يتساءلون باستمرار عما إذا كانت 


oe‏ دليل المسئول التنفيذي لحوكمة تقنية المعلومات 


اتفاقيات مستوى الخدمات (S1۸45؟)‏ 


استثمارات تقنية المعلومات قد أوجدت قيمة أم لا. تكون دراسة الجدوى الخاصة باستثمارات 
تمكين تقنية المعلومات غالبا غير موجودة أو سيئة الإعدادء ويتم التعامل معها عادة من قبل 
إدارة تقنبة المعلومات على أنها مجرد مرجعية إدارية لازمة فقط لتأمين التمويل. يوجد القليل 
إن لمم يكن لا شيء من معلومات ما قبل الاستثمار عن تكاليف تقنية المعلومات كما لا يوجد آي 
دقة في التحليل لتحديد تلك الفوائد أو القيمة. لا يوجد سوى القليل من المقاييس التي يكن 
من متابعة ورصد القيمة التي بصدد الإنشاء أو التي تم إيجادها. في كثير من الأحيان نتصور 
أن التقنية أو إدارة تقنية المعلومات سوف تقدم قيمة سحرية. 

يجب على المؤسسة أن تضع عملية خاصة بتطوير وتحديث دراسات الجدوى 
Business 5‏ الشاملة واطعدة بشكل ملائم فيما يتعلق بالاستثمارات الخاصة بتمكين 
تقنية العلومات: متضمنا ذلك جميع النشاطات المطلوبة لخلق القيمة. كما يجب وضع 
دراسة الجدوى باستخدام نهج من أعلى - لأسفل. بدءا من صياغة نتائج الأعمال المرجوة 
بشكل واضح واستكمالاً بوصف الإجراءات المطلوب إنجازها وعلى يد من ستتم. كما أن 
دراسات الجدوى هذه يجب أن يتم تحديثها واستخدامها أداة تشغيلية خلال دورة الحياة 
الاقتصادية الكاملة الخاضة باستثمار تقنية اللعلوفات. 

ونتيجة لهذه العمليةء فإن التوجهات والسلوكيات التنظيمية والفردية لا بد أن تتغير 
لتكريس المزيد من الجهد المبذول للتخطيط لاستثمارات تقنية ال معلومات وتطوير دراسات 
الجدوى وتحديثها بشكل مستمر. إن من شأن التقييم الأكثر موضوعية لدراسات الجدوى 
الخاصة باستثمارات تقنية المعلومات أنه يكن من عمل مقارنات أفضل وأكثر موضوعية 
بين الأنواع المختلفة من الاستثمارات الخاصة بتقنية المعلومات. فهناك فرص أكبر لمقارنة 
الاستثمارات الفردية استنادا إلى قيمتها النسبية مقارنة بالاستثمارات الأخرى المتاحة وكذلك 
استنادا إلى مسار سجل 16010 1۲٤k‏ قوي لاختيار الأفضل. كما يجب أن يكون هناك أقل 
مستوى من عدم التأكد والمخاطر من أن القيمة المستهدفة لن تتحقق. 

الخطوة (0): إجراء تقييمات وترتيب أولويات واختيارات لاستثمارات تقنية 
المعلومات: لا يوجد حاليا أي عملية تطبيقية مستمرة لإجراء تقييم موضوعي للقيمة 
النسبية لجميع استثمارات تقنية المعلومات المقترحة والحالية. خاصة فيما يتعلق بتحديد 


دليل المسئول التنفيذي لحوكمة تقنية المعلومات ofr‏ 


الفصل السابع عشر 


الأولويات والاختيار من بين استثمارات تقنية المعلومات ذات القيمة المحتملة الأكبر. إن 
العديد من القرارات الاستثمارية الغاضة: بتقنية ا لمعلومات ف المؤسسة هذه الأيام غير 
موضوعية وتكون سياسية غالبا. فمجرد اتخاذ القرار بالمضي قدما في استثمار ماء فمن 
الناذر جداً إغافة النظر قية مناغ تحت يسشن الأزمات الخرجة. إ5 يدم قاذرا غلا أو إلغاد 
استثمارات تقنية المعلومات السيئة التنفيذ في الوقت المناسب والكافي للتقليل من الخسائر. 
فإذا تم إلغاؤهاء فإنهم ينسبون الفشل إلى شخص ما ويجب تحميله ال مسئولية ومحاسبته. 

إن الحل الخاص بإطار العمل ۷11١‏ هو تطبيق نظم إدارة المحافظ لتصنيف استثمارات 
الأعمال المعتمدة على تقنية المعلومات. كما يجب على المؤسسة أن تنشئ معايير وتقوم 
بتطبيقها بصرامة لدعم عمليات التقييم المتناغمة والمتجانسة للاستثمارات طوال دورة 
حياتها الاقتصادية بالكامل. ونتيجة لذلك» فإن التوجهات والسلوكيات التنظيمية والفردية 
يجب أن تتغير لتشمل النظرة الواسعة لدى المؤسسة وتبني مزيد من الشفافية. 

إن الفائدة من هذا النهج المكون من الخطوات الخمس هي الفرص المتزايدة لخلق 
القيمة هن خلال اخشار اسكمارات تقنية المعلوفات الأكثر احتمالا لتقديم القيمة. ويجب 
أن تتبع هذه الفرصة إدارة فعالة لتلك الاستثمارات والإلغاء المبكر للاستثمارات التي يبدو 
أنها لن تستطيع أن تحقق القيمة المرجوة. وتقدم مواد الإطار 1١‏ لة۷ المزيد من التفاصيل 
المرتبطه بتلك المنهجيات. 

يقدم الإطار ۷۵11١‏ إرشادات مفيدة وعمليات وممارسات مجربة في حوكمة واختيار 
وإدارة الاستثمارات الخاصة بتمكين تقنية ا لمعلومات. ويصف الإطار ۷a1 1١‏ العمليات 
المترابطة التي من الضروري أن تكون في موضع التنفيذ إذا ما أرادت المؤسسات أن تضمن 
القيمة المكتسبة الأمثل من استثماراتها. لم يقم هذا القسم إلا بتسليط الضوء واستخراج 
بعض الواد من المواد الإرشادية الخاصة بقيمة تقنية المعلومات. إن إطار 1 ا۷ هو 
أحد المفاهيم الخاصة بحوكمة تقنية المعلومات» وهو مفيد للغاية في تقييم القيم النسبية 
لتقنية المعلومات الموجودة في عمليات إطلاق التطبيقات الجديدة لتقنية ا معلومات وبناء 
الضوابط العامة للإدارة. الأهم من ذلك هو ضرورة وصول تلك المفاهيم الخاصة بقيمة 
تقنية المعلومات إلى إدارة تقنية المعلومات والإدارة العليا ليتمكنوا من فهم استثماراتهم في 
موارد تقنية المعلومات على نحو أفضل. 


otf‏ دليل المسئول التنفيذي لحوكمة تقنية ال معلومات 
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يصف مصطلح إدارة محتوى المؤسسة 8011 وهو أحد مصطلحات إدارة تقنية 
المعلومات التي لم تكن شائعة حتى السنوات الأولى من القرن الحاليء الإستراتيجيات 
والأساليب والأدوات المستخدمة لحيازة وإدارة وحفظ وتقديم المحتوى والوثائق ذات 
الصلة بالعمليات التنظيمية. وقد أصبحت الآن إحدى المجموعات الخاصة بأنشطة تقنية 
المعلومات التي تشهد نوا سريعاء فإدارة محتوى المؤسسة عبارة عن سلسلة من العمليات 
التي تغطي إدارة المعلومات داخل نطاق المؤسسة بالكامل بغض النظر عما إذا كانت 
تلك المعلومات على هيئة وثائق ورقية أو ملفات إلكترونية أو بيانات مطبوعة من قاعدة 
البيانات أو رسائل البريد الإلكتروني آم بيانات مخزنة في البيئة السحابية لتقنية ا لعلومات 
أو على أي هيئة من الهيئات العديدة الأخرى المتطورة للمعلومات والبيانات. وتهدف 
عمليات إدارة محتوى المؤسسة في المقام الأول إلى إدارة دورة حياة المعلومات ابتداءً من 
إنشائها مرورا بأرشفتها وحتى التخلص منها في نهاية المطاف. 


تهدف إدارة المحتوى المؤسسي إلى جعل إدارة معلومات الشركات والوثائق الداعمة لها أكثر 
سهولةء وذلك من خلال تبسيط تخزينها وأمنها وضبط إصداراتها وتوجيه معالجتها والقدرة 
على الاحتفاظ بها. إن الفوائد التي تعود على المؤسسة جراء استخدامها للعمليات الفعالة 
لإدارة المحتوى تتضمن كفاءات محسنة وضوابط أفضل وتكاليف أقل. على سبيل ال مثالء 
تستخدم معظم البنوك هذه الأيام عمليات إدارة ا محتوى المؤسسي للاحتفاظ بالنسخ الورقية 
من الشيكات القدهة بدلا من الطريقة القديمة لحفظ الشيكات الورقية في مستودعات ورقية 
ضخمة. فطبقاً للأنظمة القدهمة والتقليدية. فإن طلب العميل الخاص بالحصول على نسخة 
من شيك قد يستغرق عدة أسابيع» حيث كان يجب على موظفي البنك الاتصال بالمستودع 
مخاطبة شخص كان دوره تحديد موقع الصندوق وال ملف والشيك المطلوبين ومن ثم يقوم 
بسحب الشيك وعمل نسخة منه ومن ثم إرساله إلى البنك من خلال البريد. والذي يقوم في 
النهاية بإرساله إلى العميل بواسطة البريد. أما في حال وجود نظام لإدارة المحتوى ا معمول به 
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في المؤسسة فإن موظف البنك يستطيع بكل بساطة أن يقوم بالبحث في النظام عن حساب 
العميل ورقم الشيك المطلوب. وبمجرد ظهور صورة الشيك على شاشة الحاسبء يستطيع 
الموظف إرساله فورا إلى العميل عبر البريد الإلكترونيء وذلك أثناء انتظار العميل على الهاتف. 

تستطيع العمليات الفعالة لإدارة المحتوى المؤسسي أن تعمل على خفض التكاليف 
وتحسين العمليات» سواء كانت هذه العمليات تخص الشيكات في أحد البنوك أو أي 
مجموعة متنوعة من الوثائق الورقية الأخرى. إن العمليات الفعالة لإدارة المحتوى المؤسسي 
تعد من الأدوات الهامة التي تساعد في تعزيز حوكمة تقنية المعلومات في المؤسسة. يقدم 
هذا الفصل المفاهيم الخاصة بإدارة المحتوى المؤسسي 8021 ويناقش المجالات التي 
يستطيع المدير التنفيذي من خلالها تحسين جميع عمليات حوكمة تقنية المعلومات من 
خلال تطبيق عمليات إدارة المحتوى المؤسسي 


خصائص إدارة المحتوى المؤسسي ومكوناتها الرئيسية في المؤسسة اليوم: 

تشتمل العوامل التي تشجع الأعمال والشركات على تبني واعتماد الحلول الخاصة بإدارة 
المحتوى المؤسسي على جميع الاحتياجات اللازمة لزيادة كفاءة المعاملات الخاصة بالأعمالء 
وتحسين ضبط المعلومات» وخفض التكلفة الإجمالية لإدارة المعلومات بالنسبة للمؤسسة. 
حيث تعمل تطبيقات إدارة ال محتوى في المؤسسة على تسهيل الوصول إلى السجلات من 
خلال عمليات البحث باستخدام الكلمات الرئيسية والنص الكاملء الأمر الذي يسمح 
للموظفين بالحصول على ال معلومات التي يحتاجون إليها مباشرة من مكاتبهم خلال ثوان 
قليلة بدلا من البحث في تطبيقات متعددة أو استخراجها من السجلات الورقية. 

تستطيع نظم إدارة محتوى المؤسسة تعزيز ضبط ومراقبة السجلات لمساعدة ال مؤسسات 
على تحسين عمليات خدمة العملاء والامتثال للوائح الحكومية والصناعية مثل متطلبات 
قانون ساربينز أوكسلي ×50 التي تمت مناقشتها في الفصل الثاني من هذا الكتاب أو 
معيار أمن بيانات صناعة بطاقات الدفع (1055 »)۴٣1‏ والذي جاء ذكره في الفصل الحادي 
عشر من هذا الكتاب. وتعد المهام الأمنية سواء كانت على مستوى المستخدم أو الإدارة, 
والخيارات الأمنية الخاصة بسجلات البيانات كذلك من المكونات الهامة في نظام إدارة 
المحتوى المؤسسي وذلك لحماية البيانات الحساسة. 
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كما يستطيع نظام إدارة المحتوى المؤسسي أن يقلل من الاحتياجات التخزينية والورقية 
والبريدية» ويزيد من كفاءة الموظفين كما يؤدي أيضا إلى قرارات مؤسسية أفضل وأكثر 
استنارة فوغاء وكلها أمور من شأنها أن سل من التكاليف الإضافية لإدارة اللعلومات. يعد 
نظام إدارة المحتوى المؤسسي قوورا هاما خاصة بالنسبة للمؤسسة التي لديها متطلبات 
لها علاقة بالاحتفاظ طويل الأجل بالمستندات والمتطلبات الخاصة بالاحتفاظ بأحجام كبيرة 
من المستندات. وفي ظل احتياجاتنا لوثائق مخصصة: مكن لنظام إدارة المحتوى أن يساعد 
من خلال عمليات مدعومة بالتوقيع أو إدارة أصول رقمية لوسائط غنية أو إدارة تصاميم 
تقنية أو ضخمة الصياغة وغير ذلك. 

من ناحية أخرى. فإن نظام إدارة المحتوى المؤسسي لا يعد من الأنظمة المغلقة أو 
من فئة المنتجات الفريدة أو المتميزة. وتستخدم عبارة عمليات إدارة المحتوى المؤسسي 
مصطلحا جامعا يشير إلى مدى واسع من التقنيات الموضوعة في المؤسسة والموردين الذين 
يتعاملون معها. ويعمل نظام إدارة ا محتوى المؤسسي بشكل مناسب عندما يكون "غير 
مرن" بصورة فعالة بالنسبة للمستخدمين. وتقوم تقنيات نظام إدارة ا محتوى المؤسسي 
بدعم تطبيقات مخصصة مثل الخدمات الفرعيةء وتكون تلك التقنيات غالا عبارة عن 
مجموعة من المكونات الخاصة بالبنية التحتية التي تناسب النماذج ذات الطبقات المتعددة 
وتتضمن جميع التقنيات المرتبطة بالوثائق والسجلات الموجودة في المؤسسة للمعالجة وتقديم 
وإدارة كل من البيانات المركبة والمعلومات غير المركبة معا. وعلى هذا النحوء فإن عمليات 
نظام إدارة المحتوى المؤسسي تعد إحدى المكونات الرئيسية والضرورية في مجال تطبيق 
الأعمال الإلكترونية الشاملة. 


عمليات إدارة المحتوى المؤسسي وحوكمة تقنية المعلومات: 

تعد إدارة محتوى المؤسسة إحدى الإستراتيجيات المستمرة والمتطورة للوصول إلى رفع 
مستوى كيفيه استخدام جميع معلومات المؤسسه إلى الدرجه القصوى. حيث تسمح 
أذوات وإستراتيجيات إدارة المحتوى المؤسسي للمؤسسة بإدارة كل من البيانات والمعلومات 
المركة وغر الاركبة الخاصة بأعمال اكؤسسة يعرف التظر عن أماكن وجودها. وبالطبع 
فإن القيام فقط "بإدارة" هذا المحتوى من المعلومات لا يعد 5 E‏ فالقدرة على 
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الوصول إلى الإصدار الصحيح لإحدى الوثائق أو السجلات يُعَدٌ من الأمور الهامة» ولكن 
يجب إدارة هذا المحتوى لي يتم استخدامه بالشكل الذي يحقق أهداف الأعمال. ومن 
الممكن أن تكون الأدوات والتقنيات الخاصة بإدارة المحتوى المؤسسي هنا ضرورية وهامة 
للقيام بإدارة كامل دورة حياة المحتوى الوثائقي منذ إنشائه وحتى التخلص منه. 

إن إدارة ا محتوى المؤسسي عبارة إستراتيجية مستمرة ومتطورة لزيادة الكيفية 
التى يجب من خلالها استخدام هذا المحتوى المعلوماق للمؤسسة والذي قد يكون 
أساسيا لتجاح العمليات العف غيلية لأعمال الكؤسمة: وعاق الرغم من وجوه العديد 
من البرمجيات والعروض الأخرى التي يقدمها الموردون فإنه يجب على الإدارة أن تفكر 
في تنفيذ واستخدام نظام إدارة المحتوى المؤسسي من حيث مفاهيم الامتثال والتعاون 
والاستمرارية والتكلفة. 


على الرغم من حقيقة أن المؤسسات اليوم تواجه زيادات هائلة في أحجام ومستوى 
تعقيد أعمالها ونظمهاء فإن العديد منها لايزال يستخدم الطرق التقليدية القديمة نفسها 
القائة على التعامل مع الوثائق واحدة تلو الأخرى. وقد تفطن المؤسسة إلى أن بعض 
الكفاءات وعملىات حوكمة تقنية المعلومات قد تتحسن من خلال اعتماد عمليات إدارة 
المحتوى المؤسسي للمؤسسة. وكنقطة انطلاق فإنه يتعين على الإدارة أن تقوم بمراجعة 
وا ا سوق اا ی إن عفد الفكرة مكرائية لخا عن قراف اة خان 
النظم (510105) التي تناولها الفصل الخامس عشر من هذا الكتاب. لكن يجب أن يقوم 
هنا كل من فريق تقنية المعلومات والإدارة بوضع خريطة تفصيلية لمجريات تدفق أو سير 
العمليات الخاصة بالوثائق والمعلومات الحالية لمعرفة الأماكن التي يمكن أن يجدوا فيها 
تداخلات: وكذلك المجال الذي يمكن من خلاله التحسين في الإستراتيجيات الخاصة بتطبيقات 
الأعمال وتدفق المعلومات. 

تظهر المعلومات التي تم جمعها حجم التعقيدات الكامنة في العمليات التي تتعامل 
مح إدارة محتوق منظمة ما. لذا يجب أن يكون الهدف:هو بناء معمازية لإذارة المختوق 
في المؤسسة. كما هو موضح في الشكل التوضيحي (1-18). والذي قد يشمل العديد إن م 
يكن كل من العناصر التالية: 
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٠‏ استحواذ نظام إدارة المحتوى المؤسسي (80121) على جميع الوثائق: يجب أن تركز 
عمليات إدارة المحتوى المؤسسي على حفظ وتتبع واستخدام المستندات كافة: سواء كانت 
وثائق ورقية أم رقمية أو وثائق لوسائط غنية كالفيديو أو الشعارات أو الصور. كما 
يجب أن تتعامل مستودعات الوثائق مع الوثائق المهيكلة وغير المهيكلة: مع الإقرار بأن 
تلك الأصول الرقمية يكون لها قيمة عالية من الملكية الفكرية. ومن الممكن أن يكون 
مستودع الوثائق عبارة عن نظام ضخم ومعقد ويكلف مئات الآلاف من الدولارات» أو 
يكون نظاما بسيطا كنظام الملفات والمجلدات المستخدم ف شركة صغيرة. والمهم أن يكون 
لديهم معلومات هكن العثور عليها بمجرد أن يتم وضعها في النظام. 

خيرة #المسحتخدمين وأدوات التشارك: التعاون هو فن العمل اال جماعي. ويعد 
ضروريا بالنسبة للتقنيات المرتبطة بإدارة المحتوى المؤسسي مثل الرسائل الفورية وألواح 
الكتابة (السبورات) والاجتماعات التي تتم عبر الإنترنت» ووسائل البريد الإلكتروني التي 
تسمح بإتمام العمل أينما وعندما يكون هناك حاجة إليه. ويسمح التعاون لأفراد بخبرات 
متكاملة أو متداخلة أن يقدموا نتائج أفضل وأسرع من ذي قبلء الأمر الذي يسمح 
لوحدات التشغيل وفرق الأعمال بالعمل سويا في أي وقت» سواء كانوا في مكاتب متجاورة 
أم منفصلين بعضهم عن بعض في أي مكان في العام. 

دورات حياة سير العمل: تعد الأدوات ضرورية لنقل المحتوى طيلة الدورات المحددة 
لعمليات العمل» كالعمليات اللازمة لمعالجة المطالبات. ولابد من استخدام أدوات إدارة 
المحتوى المؤسسي في تطوير ونشر ومراقبة وتحسين عدة أنواع من التطبيقات الآلية. 
ويتضمن ذلك العمليات التي تشتمل على كل من النظم والناس. ترتبط دورات حياة سير 
الأعمال أيضا مع العمليات الندوية لإذارة الوثائق: كما يجب على ذوراتٌ سير العمليات 
معالجة الموافقات وتحديد الأولويات التي يتم بناء عليها ترتيب الوثائق والمستندات التي 
يتم تقدهها. وف الحالات الاستثنائية يقوم مخطط سير الأعمال بتصعيد قرارات مبنية 
على قواعد محددة سلفاً قد تم وضعها من قبل مالي النظام. 

إدارة السجلات الخاصة بنظام إدارة المحتوى المؤسسي: 6 حين أن آي حزء من المحتوى 
مکن تسميته سحل إلا أنه يجب التعامل مع هذه العناصر وفقا لجدول زمني للاحتفاظ 
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بها والذي يحدد المدة التي يتم الاحتفاظ خلالها بالسجلء ويكون ذلك بناء على اللوائح 
النظامية أو ا ممارسات التجارية الداخلية. كما أن هناك احتياجات لتخزين هذه السجلات 
المتعددة والمتنوعة بحيث يمكن استرجاعها عند الحاجة. وحذفها في نهاية المطاف في 
الأوقات المناسبة لاحقا. 

٠‏ أدوات محتوى الويبء الوسائط الغنية: يجب أن تقوم عمليات إدارة المحتوى المؤسسي 
بمعالجة العمليات الخاصة بإنشاء ا محتوى ومراجعته واعتماده ونشره على شبكة 
الإنترنت. وتشتمل البيانات الرئيسية للمحتوى الموجود على شبكة الويب على أدوات 
الإنشاء والتأليف أو التكامل وإدارة وتصميم المدخلات وقالب العرض وإدارة إعادة 
استخدام المحتوى وقدرات النشر الفعالة. 

٠‏ أدوات التشارك في نظام إدارة المحتوى المؤسسي وأدوات الحوسبة الاجتماعية: تمكن 
التقنيات المستخدمة في التعاون أو التشارك المستخدمين المستقلينء كالموظفين أو شركاء 
العمل» من أن يقوموا بسهولة بتشكيل فرق المشروع والحفاظ عليهاء بغض النظر عن 
الموقع الجغرافي. إن هذه التقنيات وأدوات الحوسبة الاجتماعية تقوم بتسهيل العمل 
التعاوني وإنشاء المحتوى القائم على الفريقء واتخاذ القرار لكل من نظم تقنية المعلومات 
التقليدية والعدد المتزايد لعمليات حوسبة الشبكة الاجتماعية في المؤسسة. كما أن هناك 
حاجة إلى الاحتفاظ بسجلات مناسبة لهذه الأنشطة. 

٠‏ البحث وتحليلات المحتوى: سواء كان بسبب الإستراتيجيات التسويقية أو الوصاية 
الحكومية أم غيرها من العوامل» فا مؤسسات بحاجة متزايدة للقيام بمراجعة وتحليل 
العديد من المعاملات الخاصة بأعمالها. فعلى الرغم من أننا نمتلك قاعدة بيانات قوية 
كأحد أدوات المساعدة: فإن عمليات إدارة المحتوى المؤسسي مكحن أن تساعد كثيراً في 
الإبقاء على نتائج هذه الأنشطة. 

أدواك الاتتعمرازية والاستفاظه جد الاتقاء عن الأفمال مارية فعس اوها معنن 
ساعة في اليوم» وسبعة أيام في الأسبوع ۷/۲١‏ أحد مهام التخطيط للاستمراريةء ونظرا 
لأن الوثائق الإلكترونية هذه الأيام تعد بمثابة شريان الحياة بالنسبة طمعظم المؤسسات» 
فإن إدارة ا محتوى المؤسسي لديها تلعب دوراً هاماً في إدارة الاستمرارية. حيث تسمح 
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التقنيات الخاصة بإدارة المحتوى المؤسسي بإنشاء مستودعات مركزية يمكن أن تتواجد 
بها كل المعلومات الحيوية للشركة. وسوف تختلف طريقة التخزين اعتماداً على مدى 
أهمية المحتوى بالنسبة للشركةء وهي تتنوع من أشرطة النسخ الاحتياطي خارج الموقع 
إلى المواقع الإضافيه وامواقع الانعكاسية (المرآوية) المفصولة جغرافيا والموجودة على 
شبكات طاقة مختلفة. كما يجب على المؤسسة أن تضع أوليات لعناصر المحتوى لديها 
لتحديد مدى السرعة اللازمة لاستعادة محتوى الوثيقة على شبكة الإنترنت حال حدوث 
كارثة» كما يلزم تحديد العمليات المحورية في أداء المهام والكيانات التي تعتمد عليهاء 
على أن يلي ذلك إجراء تقييم تأثير الأعمال لتحديد أثر حدوث عرقلة لتلك العمليات أو 
فقدها. لذا فوجود عمليات مناسبة وقوية لإدارة المحتوى المؤسسي يعد هنا من الأمور 
الضرورية. 


٠‏ وسائل لإشراك عملاء نظام إدارة المحتوى المؤسسي: إن وجود الأدوات التي تسمح 
للمؤسسة وعملائها وغيرهم من أصحاب المصلحة باسترجاع جميع المستويات الخاصة 
بأنشطة التعاملات والوصول إليها بسهولة يجب أن يكون سمة رئيسية من سمات عمليات 
نظام إدارة المحتوى المؤسسي. هذا النوع من الأدوات يسمح لمركز خدمات العملاء بتوفير 
تواريخ عمليات الشراء بشكل سريع بدلا من العودة إلى السجلات واسترجاعها. 

٠‏ إدارة الوثائق: تساعد عمليات إدارة المحتوى المؤسسي هنا المنظمات على تحقيق 

إدارة أفضل للقيام بإنشاء ومراجعة واعتماد واستخدام الوثائق الإلكترونية. توفر إدارة 

الوثائق الميزات الرئيسية كالخدمات ال مكشتسية وتوصيف الوثائق والبحث وتسجيل الدخول 

والخروج والتحكم في الإصدار وتاريخ التنقيح وأمن الوثائق. 

روابط التشغيل البيني للمؤسسة: تحتاج المؤسسة عادة في هذه الأيام إلى تبادل البيانات 

والمعلومات بين وحداتها التشغيلية المختلفة وأصحاب المصالح الخارجيين. وعلى الرغم 

من أن النظم والتصميمات المختلفة قد تتسبب في وجود صعوبات» فإنه ينبغي أن تكون 
عمليات إدارة المحتوى المؤّسسي مفتوحة ومرنة ها يكفي لبناء روابط تشغيل بيني للنظم 

التي تغطي المؤسسة بكاملها ووحداتها التشغيلية. 
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الفصل الثامن عشر 


ه أدوات أمن إدارة المحتوى المؤسسي: يجب أن تقوم عمليات إدارة المحتوى المؤسسي 
بفرض قيود على عمليات الوصول إلى المحتوى أثناء إنشائها وكذلك إدارتها عند تسليمها. 
وينبغي أن تشتمل هذه العمليات الأمنية على ما يلى: 
- إدارة الحقوق الرقمية: يجب أن تقوم عمليات إدارة المحتوى المؤسسي نع التوريج غير 

ا مشروع للمحتوى ال محمي بالحقوق عن طريق تقييد الوصول إلى المحتوى وصولا (نزولا) 
إلى مستوى الجملة وكذلك منح / تقييد الصلاحيات للتوجيه إلى ال محتوى والوصول إليه. 
- التوقيعات الرقمية: يجب أن تتأكد العمليات من هوية مرسل الوثيقة وسلامة الرسائل. 


هناك عنصران آخران في إطار بنية نظام إدارة المحتوى المؤسسي الموضح في الشكل 
التوضيحي )١-16(‏ لا يجب تجاهلهما. فا مريع أو الجزء العلوي من هذا المخطط عبارة عن 
مساحة يطلق عليها إدارة الامتثال. فالعنصر الأساسي في إستراتيجية الامتثال الناجح لنظام 
إدارة المحتوى هو الحاجة إلى الدمج بين فكرة الامتثال لنظام إدارة المحتوى والأعمال وألا 
يُنظر للامتثال هنا كما لو كان مشروعا هكن أن يبدأ و"ينتهي". وعلى الرغم من أن الامتثال 
للوائح التنظيمية فة مرا شاقاء فإنه يجب أن ينظر إليه على أنه فرصة لتحسين العمليات 
المشتركة للأعمال» وليس فقط مجرد تكلفة مستمرة على الأعمال. إن هذا اللمستوى من 
الامتشال يختلف قليلا عن مكون الامتغال - الحوكمة وإدارة المخاطر والامتثال - 6۸٤‏ 
الخاص بحوكمة تقنية المعلومات. 

إن التأسيس السليم للمبادرة الخاصة بالامتثال سيعود بالفائدة على العديد من مجالات 
الخبرة في المئؤسسة خصوصا المجالات القانونية وتقنية المعلومات وإدارة السجلاتء والتي 
تهدف جميعها إلى دعم الأهداف العامة للأعمال المؤسسية. ويجب أن تسهم معرفة 
ومرئيات الأفراد العاملين في كل من هذه المجالات في تحقيق الفوائد المرجوة من البرنامج 
السليم للامتشال. وعلى الرغم من أن الامتثال لا يمثل دانما مشكلة تقنية: فإن تقنية 
المعلومات. والنمو الهائل للمحتوى غير المرکب» قد يسهمان في كشف محتوى الشركات. 
وقد يساعد الاستخدام السليم لأدوات إدارة المحتوى المؤسسي في الحد من التكلفة الإجمالية 
للامتثال بالنسبة للأعمال وفي تحسين حوكمة تقنية المعلومات بشكل عام» كما هو موضح 
في العنصر الموجود في أسفل الشكل التوضيحي .)١-١8(‏ 
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إدارة محتوى المؤسسة 


شكل توضيحي (۱-۱۸) 


معمارية إدارة محتوى المؤسسة 58011 


عمليات إدارة محتوى المؤسيسة 








خلق بينة فعالة لنظام إدارة المحتوى المؤسسي في المؤسسة: 
كما أشرنا في النقاشات التمهيدية لهذا الفصلء ليست إدارة المحتوى المؤسسي مجرد نظام 
واحد ولكنه أكثر من إستراتيجية للمؤسسة. فهو عبارة عن سلسلة من النظم والعمليات 


باضه 
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الفصل الثامن عشر 


لإدارة العديد من النماذج والصيغ التي تتعامل معها المؤسسة اليوم بشكل أفضلء بدءا 
من الوثائق الورقية وصولا إلى الملاحظات المنشورة على تويتر 1۷1۲١١‏ والرسوم الهندسية, 
وما هو أكثر من ذلك بكثير. وقد قامت بعض إدارات تقنية المعلومات في المؤسسة بوضع 
إستراتيجية خاصة بإدارة المحتوى ال مؤسسيء ورا تكون قد قامت بتطبيق ذلك النهج 
الخاص بتلك الإستراتيجية إلى حد كبير. ومن الممكن أن تكون بعض الإدارات الأخرى قد 
قامت بتطبيق بعض الأجزاء الفعالة في نظام إدارة المحتوى المؤسسي كنظام خدمة العملاء 
للتحقق من الطلبات» ولكن لا يزال لدى تلك الإدارات الوسائل التي تسلكها قبل إطلاق 
نظام لإدارة المحتوى المؤسسي بشكل كامل. ثم من الممكن أن يكون هناك بعض الشركات 
التي م تتناول المفهوم بالشكل الصحيح ومن ثم استمرت في استخدام أساليبها التقليدية 
القائمة على التعامل مع الوثائق واحدة تلو الأخرى. 
يمكن أن تكون العمليات الفعالة لإدارة ا محتوى المؤسسي وسيلة جيدة جدا لتحسين حوكمة 
تقنية المعلومات في المؤسسة. الشكل التوضيحي )۲-٠۸(‏ يوضح بعض الشروط التي يجب على 
الإدارة مراعاتها عند اعتماد إستراتيجية خاصة بإدارة المحتوى المؤسسي. فإذا قامت المؤسسة 
بتحقيق واحد أو أكثر من تلك المتطلبات. ولاسيما إذا قامت بتلبية العديد منها بشكل مناسب» 
فمن الممكن أن تستفيد من عملية تحولها لاستخدام نظام إدارة المحتوى المؤسسي. 
يتطلب التحول إلى استخدام نظام إدارة المحتوى المؤسسي شكلا من أشكال الإستراتيجية 

في خطوة آولى. حيث تتضمن بعض الخيارات الخاصة بوضع إستراتيجية للتحول إلى 
استخدام نظام إدارة المحتوى المؤسسي على مستوى المؤسسة ما ياي: 
٠‏ القيام بداية ببناء منصة جديدة لإدارة المحتوى المؤسسي في أماكن العمل: وذلك باستخدام 

إحدى العروض المقدمة من مقدمي خدمات المنصات الفردية لإدارة المحتوى المؤسسي. 
ه تهجير واستبدال جميع نظم إدارة ا محتوى الموجود إلى منتج واحد جديد خاص بإدارة 

المحتوى والذي حصلنا عليه من قبل أحد ال موردين الذي يعمل على مستوى المؤسسة. 
٠‏ نقل أو تحويل كل نظم إدارة المحتوى الموجودة إلى المنتج الفردي الموجود الذي تم 

اختياره لإدارة المحتوى على مستوى المؤسسة والمقدم من قبل البائع. 
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شكل توضيحي (18-؟) 
متطلبات المؤسسة التي تبرر الانتقال إلى نظام إدارة المحتوى المؤسسي 
ه الاحتفاظ الطويل الأجل بالسجلات أو المتطلبات. 
٠‏ الاحتياجات اللوجستية لإدارة السجلات المادية واسترجاعها. 
٠‏ الاحتياجات الخاصة بامتلاك المعلومات أو السجلات كبيرة الحجم. 
« احتياجات التوافق مع معايير إدارة السجلات (على سبيل اللثال: الحكومة الاتحادية أو الأيزو). 
« البيئة اللازمة لمشروع إدارة ومعالجة القضايا والحالات. 
* عمليات السجل أو المستند المهمة المدعومة بالتوقيع. 
« إدارة الأصول الرقمية (الوسائط الغنية). 
ه إدارة التصميمات التقنية أو الضخمة الصياغة. 
» متطلبات إدارة الأصول وال مرافق. 
» بوابات شبكة الإنترنت الخارجية / التي يتعامل معها العملاء. 
ه الحاجة للتعامل مع شريك خارجي لتقديم حماية الجدران النارية. 
٠‏ تطبيقات لإدارة عمليات المهام الصعبة. 
٠‏ المتطلبات أو الاحتياجات اللازمة لإدارة الطباعة / الإخراج / الإحالات. 
« التكامل الوثيق مع نظم .ERP / CRM / LOB‏ 
٠‏ اتصالات النظم الواردة ذات القنوات المتعددة. 
ه متطلبات إدارة الحقوق الرقمية/ للأصول ذات القيمة العالية. 
« متطلبات تشفير البيانات التي على درجة عالية من الأمن. 





٠‏ التعديل أو الاستبدال أو التحويل الانتقائي للعديد من النظم الإدارية/ المحلية المعمول 
فا خالا حسب اة 


٠‏ تركيب نظم إدارية جديدة متخصصة حسب الحاجة لتحقيق الأهداف الم محلية. 
٠‏ الانتقال إلى منصة نظام إدارة المحتوى المؤسسي القائمة على البيئة السحابية والمقدمة من 
قبل طرف ثالث. 


دلبل المسئول التنفيذي لحوكمة تقنية ا لمعلومات 26 


الفصل الثامن عشر 


ليس الهدف من هذا الفصل تقديم التفاصيل اللازمة لتطبيق إستراتيجية إدارة المحتوى 
على مستوى المؤسسة بواسطة استخدام العناصر التي تم وضعهاء أو عن طريق التعامل مع 
أحد الباعة الرئيسيين مثل آي بي إم (18) أو إي إم سي (8210) والذين بإمكانهم تقديم 
الإرشادات والأدوات اللازمة. تقدم الأجزاء التالية من هذا الفصل وصفا للعناضر الأساسية 
لكامل نظام إدارة ا محتوى المؤسسي أو لسلسلة من العمليات. كما يجب أن تشتمل الإدارة 
الفعالة للمحتوى على معظم هذه العناصر. 


سمات نظام إدارة المحتوى المؤسسي: الأرشفة وس كنك ة4: 

تضطر الأعمال هذه الأيام إلى التعاطي مع مجموعة كبيرة من مصادر البيانات المختلفة 
للشركات والإدارات. والتي تتضمن قواعد البيانات العلاقيةء ومستودعات الوثائق» ومخازن 
البريد الإلكترونيء وخوادم الملفات. والأمر الذي يزيد من حجم التحدي الناجم عن إدارة 
هذه البيئة المعقدة لمصادر البيانات المختلفة هو المتطلبات المتعلقة مقتنيات وممتلكات 
الشركات والتشريعات التنظيمية وحوكمة المعلومات والتفويضات للحد من التكلفة 
التشغيلية من خلال البائع وتعزيز البنية التحتية. وتحتاج المؤسسة إلى مستودعات خاصة 
بأرشفة وثائق نظام إدارة المحتوى المؤسسيء وذلك لتخزين تلك الوثائق التي تكون غالبا 
ملايين من البيانات والوثائق والصورء وغيرها من الوثائق التي تخص العملاء. ويجب أن 
يشتمل هذا الأرشيف على جميع الوثائق الفردية الخاصة بالاستكشاف والتحقق من سلامة 
وصحة ال محتوى وتنظيم العمليات التخزينية والاسترجاع والتوزيع والتوصيل. 

ترتبط الفهارس الخاصة عادة بأرشفة وثائق نظام إدارة المحتوى المؤسسي بمحتوى 
المستند عند إنشاء ذلك المحتوى وذلك من خلال استخدام محركات التركيب» أو أثناء 
تحميلها في الأرشيف. تصميم الفهرس هنا مهم» فبمجرد وضع الوثائق في الأرشيف سيكون 
من الصعب جدا نمو أو زيادة تلك الفهارس لكي تلبي الاحتياجات المتغيرة للأعمال أو 
الاحتياجات الخاصة بالعملاء طبقاً لوجهات النظر المختلفة لهم. 

وعلى الرغم من أن مشروع الأرشفة الخاصة بإدارة المحتوى المؤسسي قد يكون "مشروعا 
مرعباً". فإنه يوفر فرصة لتوضيح مسائل مثل رقم الحساب ومعايير التسمية التي قد تكون 
فريدة داخل مؤسسة واحدة ولكن تتكرر عبر السجلات المحفوظة لدى الشركة. فبالإضافة 
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إلى إطلاق مجموعة من العمليات الخاصة بإدارة المحتوى المؤسسي» يمكن للأرشفة أن تعود 

على المؤسسة بفوائد فورية ‏ وطويلة الأجل. 

سمات نظام إدارة المحتوى المؤسسي: عمليات التصنيف وعء5وعء270 125511122)10): 

تعمل عمليات التصنيف الخاصة بوثائق نظام إدارة المحتوى المؤسسي على أتمته تنظيم 

ا محتودات غير المركبة. وذلك من خلال تحليل النص الكامل لوثائق ورسائل البريد الإلكتروني. 

ومن خلال تصنيف ال محتؤى: بإمكان تقنية المعلومات أن تقوم بتسريع عمليات الوصول 

إلى المحتوى أو تقليل الوقت اللازم للوصول إليهء وذلك للحصول على القيمة المرجوة من 

الاستثمارات المتعلقة بنظام إدارة المحتوى المؤسسي كأرشفة المحتوى أو إدارة السجلات 

٠‏ تقديم أعلى عوائد الاستثمار من العملية عن طريق تحرير المستخدمين النهائيين من عبء 
المهام اليدوية دون المخاطرة بتعارض المشاركة -في حين أنه يتم تصنيف كميات كبيرة من 
ا محتوى بدقة. 

٠‏ تصفية أرشيف الوثائق من رسائل البريد الإلكتروني والوثائق ذات القيمة المحدودة 
بالنسبة للأعمال. 

٠‏ تنظيم محتوى الوثائق بمنطق تابت وموتوق به وقابل للتدقيق. 

ه أكثر استعدادا للتكيف مع التغييرات في السياسات والفئات من خلال دمج التغذية 
الراجعة للمستخدم في الوقت الحقيقي. 

٠‏ إنشاء تصنيفات عالية الدقة للوثائق من خلال الجمع بين أساليب متعددة للتصنيف مثل: 
ه قواعد الكلمات المفتاحية والتطابق التقريبى. 
ه اس متخراج | لنمط. 


٠‏ الأساليب القائمة على السياق الدقيق للغاية الخاصة ب"التعلم من خلال قدوة". 
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الفصل الثامن عشر 


إن عملية تحليلات المحتوى هي العنصر الرئيسي في عمليات تصنيف وثائق نظام إدارة 
ا محتوى المؤسميء > وهي عملية متقدمة للبحث والتحليلات کن من اتخاذ قرارات أفضل 
اعتماداً على محتوى اللؤسسة بغض النظر عن مصدر ذلك المحتوى أو شكله. بإمكان 
الحلول الخاصة بعملية تحليلات ال محتوى فهم معنى وسياق لغة الإنسان وتقوم بسرعة 
بمعالجة المعلومات لتحسين البحث الذي تحركه ال معرفة وإظهار رؤى جديدة من محتوى 
المؤسسة الخاصة باك 

وما هو أكثر تطوراً من ذلك استخدام تقنيات أحدث لمعالجة اللغات الطبيعية مثل 
تقنىة (خ0ل)م1066 .)/]BM Watson‏ وذلك عند إحجراء عمليات تحليل اللملحتوى؛ وهذه 
التقنية عبارة عن آلة متطورة تعمل بنظام الرد على الأسئلة. إن كمية كبيرة من المعلومات 
التي تم إنشاؤها واستخدامها من قبل المؤسسة عبارة محتوى غير مركبء والذي ينمو عادة 
معدل عمق محل البياناث المركبة. إن فخي واس عخدام هذه الاعلومات غير المركنة 
وشبه المركبة قد يساعد المنظمة للعمل بطريقة آذك ويخدم العملاء بشكل أفضل ويتحكم 


سمات نظام إدارة المحتوى المؤسسي: التخلص من الوثائق وإدارة الحوكمة: 

يجب أن تكون عملية التخلص من الوثائق وإدارة الحوكمة جز لا يتجزأ من عمليات 
إدارة المحتوى المؤسسي في المؤسسة. إذ تساعد هذه العملية المؤسسة على الوفاء بالتزاماتها 
للحصول على المعلومات وإدارتها على أساس القيمة والتخلص من المعلومات العديمة 
القيمة أو الالتزامات في أقرب فرصة ممكنة. فقد تساعد العملية المُحُكمة على التخلص من 
البيانات التي لم تعد مستخدمة في الحد بشكل كبير من حجم ال معلومات ومن التكاليف 
الناجمة عن استخدام تقنية المعلومات. فمن خلال الحلول المناسبة للتخلص من البيانات 
وإدارة الحوكمة هكن لتقنية ا معلومات أن تقوم بإدارة المعلومات وفقا لقيمة أعمالها أو 
التزاماتها القانونية وتقوم بالتخلص من المعلومات الأخرى. 

إن العنصر الأساسي في عمليات التخلص من الوثائق هو أنه يجب على إدارة المؤسسة 
وإدارة تقنية المعلومات الحصول على رؤية واضحة للوثيقة فيما يخص أنه يجب على إدارة 
المؤسسة وإدارة تقنية المعلومات الوصول إلى رؤية لكل من وثائق الالتزامات القانونية - 


كالجداول القانونية لإدراج الوثائق والاحتفاظ بها - والقيمة التجارية للعلومات محددة 
مرتبطة بأحد الأصول أو بهوية أحد الموظفين. كما يجب أن يكون لدى عمليات إدارة 
المحتوى المؤسسي أهداف للقيام بالنقل الفوري للمتطلبات والحقائق بين كل من قسم 
تقنية المعلومات والسجلات والكادر القانوني للمؤسسة. وذلك من خلال التبليغ التلقان 
مهام البنود والإشعارات والتنبيهات وعمليات البحث المبسطة ف الالتزامات القانونية. 


يجب على المنشأة أن تقوم بالتخلص المبرر من الوثائق. وذلك من خلال إجراء عمليات 
دقبقة لحرد السانات بهدف التخلص من المعلومات المخزنة الزائدة عن الحاجة. فمن خلال 
تمكين تقنية اللعلومات لإجراء عمليات تحديد النسخ المكررة البيانات نفسها والبيانات 
القديمة التي مم يعد لها أي قيمة تجارية أو عليها التزامات قانونية وكذلك النظم المكررة 
انه 4 لعمليات إذارة المحتوى أن تمن الشركة من الاحتفاظ فقط بالبيانات التي لها 


وتستطيع العمليات المناسبة لإدارة المحتوى المؤسسىي ف أن تمنع تراكم البيانات غير 
الضرورية في المستقبل. فعندما تقوم المؤسسه بالتخلص لبور من ال معلومات التي يمكن 
الاستغناء عنها فإن ذلك يمكنه أن يقضي على مخاطرة ترتبط بتقنية المعلومات تعرف 
ب"ادخار كل شيء"» ومن ثم زيادة الكتلة القابلة للاستكشاف. كما أنه يحمي المؤسسة 
من الانشغال ممارسات تخلص مفرطه وغير مناسبه بسبب إجرائها عمليات غير مناسبة 
وإهدارها لفترات حفظ م تكون مطلوبة. 

هناك مئات الحلول الأخرى لممارسة إدارة الوثائق المكتبية مثل التصوير والتطبيقات 
الهندسية وإدارة محتوى الويب والمحتوى القائم على .7041 وتطبيقات نشر الوثائق. 
فإدارة الوثائق ت تتيح آليات البحث والوصول إلى الوثائق الموجودة في تلك النظم في جميع 
أنحاء المنظمة في الوقت الذي تتبني فيه المعايير الصناعية التي تساعدها على التكامل مع 
عمليات الأعمال الأخرى. اة إدارة الوثائق بزيادة حجم البنية التحتية الخاصة i‏ 
إدارة ا محتوى المؤسسي لتشمل وثائق العمل التي تم إنشاؤها بشكل فردي أو عن طريق 
العمليات التعاونية. 


دليل المسئول التنفيذي لحوكمة تقنية ا لمعلومات o1‏ 


الفصل الثامن عشر 


هناك العديد من التقنيات والحلول المتاحة التي يقوم المورد بتوفيرها هذه الأيام في 
إدارة المحتوى المؤسسي. إلا أن نظام إدارة المحتوى الأكثر أهمية هو الذي يبمتلك خطة 
إستراتيجية مستمرة ومتطورة لزيادة الكيفية التي يمكن من خلالها استخدام المحتوى. 
قد تكون العمليات المتعلقة بمعلومات نظام إدارة المحتوى ا مؤسسي بمثابة نقطة انطلاق 
للمؤسسة للقيام بمراجعة وإنشاء دورة حياة مشتركة لمحتوى المعلومات. وكنقطة بداية 
لحوكمة تقنية ا معلومات؛ يجب على ال مؤسسة رسم خريطة لنظمها وعملياتها الحالية 
لتحديد أوجه التداخل ومجالات التحسين للتطبيقات والإستراتيجيات التي تقوم بتطويرها. 
وقد تكون المعلومات المجمّعَة بمثابة مؤشر فقط على درجة التعقيد المتأصلة في أي عملية 
تدير محتوى منظمة ما. وينبغي أن تتمثل الخطوة التالية في مناسبة الأدوات التقنية لتلبية 
احتياجات الأعمال. ويمكن للتقنية أن تضمن انسيابية إدارة ا محتوى» لكن الإستراتيجية 
الأساسية يجب أن تأق أولا. 


64 دليل المسئول التنفيذي لحوكمة تقنية المعلومات 


الفصل التاسع عشر 
دور التدقيق الداخلي في الحوكمة 


من المعلوم أن مهنة التدقيق الداخلي ليست جديدة وإنما هي موجودة منذ القدم. فقد 
اكتشف علماء الآثار أن الكتبة في بلاد ما بين النهرين” قد استخدموا سجلات محاسبية 
دقيقة من ألواح الطين منذ ما يقرب من ٠٠١‏ سنة قبل الميلاد حيث كانت تحتوي تلك 
السجلات على مؤشرات ونقاط وعلامات تحديد. وهو الأمر الذي يدل على وجود وظيفة 
التدقيق في ذلك الوقت. ودون شك فقد تطورت مهنة التدقيق على مدى آلاف السنينء 
ونقوم اليوم عادة بتصنيف معظم مدققي الأعمال إما إلى مدققين خارجيين أو مدققين 
داخليين. حيث يتم اعتماد المدقق الخارجي من قبل هيئة تنظيمية ليقوم بزيارة المؤسسة 
أو المنشأة لمراجعة أعمالها والقيام بإعداد تقرير مستقل بنتائج هذه المراجعة. ففي الولايات 
المتحدة يكون المدققون الخارجيون عادة هم المحاسبين القانونيين: الذين يحملون تراخيض 
من الولاية ويتبعون المعايير الخاصة بالمعهد الأمريي للمحاسبين القانونيين (.۷۷۷:41-3 
08 ). كما يوجد هناك أيشا أنواع آخری من المدققين الخارجيين الذين يعملون في مجالات 
مثل من يقومون بمراجعة مدى مطابقة الأجهزة الخاصة بالمعدات الطبية للمعايير أو مراجعة 
معدلات مشاهدي التلفاز أو غيرها من التقييمات في مجالات حكومية متعددة. 

يكون مجال التدقيق الداخلي غالبا أكثر اتساعا وأهمية من مجال التدقيق الخارجي. 
وكون المدقق الداخلي من موظفي أو أعضاء المؤسسة:. فإنه يقوم وبشكل مستقل بممراجعة 
وتقييم العمليات التشغيلية في العديد من المجالات المختلفة؛ مثل إجراءات الرقابة الداخلية 
للمكاتب المحاسبية أو العمليات الخاصة بالجودة الصناعية. ويقوم معظم المدققين 
الداخليين باتباع معايير رفيعة المستوى تم وضعها من قبل المنظمة المهنية التي يتبعونهاء 
وهي معهد المدققين الداخليين (114.79375::16112.018): غير أنه يوجد اليوم كثير من 
الممارسات والأساليب المختلفة الأخرى في التدقيق الداخلي نتيجة لطبيعته العالمية وكثرة 
أنواع أنشطة التدقيق. 


(*) بلاد العراق قدها (المترجم). 


دلبل المسئول التنفيذي لحوكمة تقنية المعلومات 256 


الفصل التاسع عشر 


يتخصص بعض المدققين الداخليين في مراجعة الضوابط اطالية الداخلية للمؤسسات» 
في حين يركز البعض الآخر على عمليات الأعمال أو المسائل التشغيلية. وعلى الرغم من 
أن جميع المدققين الداخليين اليوم يجب أن يكون لديهم بعض المعرفة عن الضوابط 
الداخلية المتعلقة بتقنية المعلومات: فإن هناك أيضا تخضصا مهنيا قويا يخرف باسم مدقق 
تقنية المعلومات. وقد تم الحديث عن هؤلاء المهنيين في الفصل الخامس من هذا الكتاب 
باعتبارهم الموارد الرئيسية لتطوير وتنفيذ عمليات قوية وفعالة لحوكمة تقنية المعلومات. 

يستعرض هذا الفصل أهمية التدقيق الداخلي وتدقيق تقنية المعلومات في وضع 
عمليات فعالة لحوكمة تقنية المعلومات. وسوف نستعرض بإيجاز المعايير والأنشطة المهنية 
الخاصة بالتدقيق الداخلي والضرورية لإيجاد ممارسات جيدة لحوكمة تقنية المعلومات. 
وعلى الرغم من أن إدارة التدقيق الداخلي تعد إدارة منفصلة ومستقلة داخل المؤسسة: فإن 
التقاريرالصادرة عنها تُقدَّم فقط للجنة التدقيق التابعة لمجلس إدارة المؤسسة: لذا يجب 
على المديرين التنفيذيين فهم الأدوار المنوطة بهم والعمل معهم بهدف تحسين العمليات 


الخاصة بحوكمة تقنية المعلومات. 


تاريخ التدقيق الداخلي ومعلومات أساسية عنه: 

يمكن لكبار المديرين التنفيذيين فهم التدقيق الداخلي ومجالاته المعرفية الأساسية على 
نحو أفضل من خلال معرفتهم لبعض المعلومات عن المنظمة المهنية للمدققين الداخليينء 
14 ومعاييرها المهنية المنشورة. وقد قامت تلك المنظمة المهنية بتعريف التدقيق الداخلي 
على النحو التالي: 

"التدقيق الداخلي هو وظيفة تقييم مستقلة مصممة داخل المنظمة لفحص وتقييم أنشطتها 
باعتبارها خدمة للمنظمة." 

سيكون هذا التعريف أكثر وضوحا عندما نركز على مصطلحاته الأساسية. حيث يشير 
التدقيق إلى مجموعة متنوعة من الأفكار التي يمكن أن ينظر إليها من زاوية ضيقة للغاية, 
مثل التحقق من الدقة الحسابية أو الوجود الفعلي للسجلات المحاسبية: أو على نطاق أوسع 
كالمراجعات والتقييمات التي تتم على العديد من المستويات التنظيمية. سيتم استخدام 
مصطلح التدقيق طيلة هذا الفصل ليشمل هذه المجموعة المتنوعة من مستويات الخدمة. 


فك دليل المسئول التنفيذي لحوكمة تقنية المعلومات 


دور التدقيق الداخلي في الحوكمة 


التي تمتد من الفحص التفصيلي وحتى الوصول إلى التقييمات العالية المستوى. أما مصطلح 

الداخلي فيقصد به أن العمل يتم داخل المؤسسة: بواسطة الموظفين العاملين فيهاء بعكس 

المدققين الخارجيين الذين يتم تنفيذ أعمالهم بواسطة محاسبين قانونيين أو أطراف أخرى 

من خارج المؤسسة: كالمنظمات أو الجهات الرقابية الحكومية» التي لا تعتبر جزءا من 

سس 

يشتمل الجزء المتبقي من هذا التعريف الخاص بالمنظمة المهنية للمدققين الداخليين 

114 والخاص بالتدقيق الداخلي على مصطلحات أخرى هامة تنطبق على هذه المهنة وهي: 

٠‏ مستقلة: هو المصطلح الذي يشير إلى أن التدقيق الداخلي خال من أية قيود يمكن أن 
تحد بشكل كبير من نطاق وفاعلية أي عملية مراجعة يقوم بها المدقق الداخلي أو 
تؤثر في التقارير التي يتم إعدادها بعد ذلك بشأن المحصلة النهائية الخاصة بالنتائج 
والاستنتاحات. 

ه التقييم: هو مصطلح يؤكد ضرورة إجراء التقييم الذي يعد مثابة قوة الدفع للمدققين 
الداخليين عند قيامهم بوضع استنتاجاتهم. 

٠‏ مصممة: هو مصطلح يؤكد أن التدقيق الداخلي عبارة عن وظيفة رسمية محددة داخل 
المؤسسة الحديثة. 

ه فحص وتقييم: مصطلحان يصفان الأدوار النشطة التي يقوم بها المدققون الداخليونء 
بداية بالاستفسارات الخاصة بتقصي الحقائق ثم بالتقييمات التحكيمية النزيهة. 

٠‏ أنشطتها: هو مصطلح يؤكد النطاق الواسع لولاية أو سلطة الأعمال الخاصة بالتدقيق 

٠‏ الخدمة: مصطلح يشير إلى أن المساعدة ومد يد العون إلى لجنة التدقيق والإدارة وغيرهم 
من أعضاء المؤسسة هي الغاية الحقيقية النهائية من جميع أعمال التدقيق الداخلي. 

« المنظمة: مصطلح يؤكد أن النطاق الإجمالي لخدمة التدقيق الداخلي يشمل المؤسسة 
بأكملهاء متضمنا ذلك جميع الموظفين ومجلس الإدارة ولجنة التدقيق والمساهمين 


دليل المسئول التنفيذي لحوكمة تقنية ا لمعلومات o1۷‏ 


الفصل التاسع عشر 


كما يجب الاعتراف أيضا بأن إدارة التدقيق الداخلي تعد بمثابة هيئة رقابية تنظيمية 
داخل المؤسسة تعمل من خلال قياس وتقييم فاعلية الضوابط الأخرى. فالمدققون 
الداخليون الذين يقومون بأداء أعمالهم بفاعلية وكفاءة يُصبحون خبراء في عمل أفضل 
التصاميم والتطبيقات الممكنة لجميع أنواع الضوابط وال ممارسات المفضلة. وتتضمن هذه 
الخبرة فهم أوجه الترابط بين الضوابط المختلفة وأفضل تكامل ممكن فيما بينها داخل 
النظام الكلي للرقابة الداخلية. وبذلك تعد الرقابة الداخلية بمثابة الباب الذي من خلاله 
يأ المدققون الداخليون لدراسة وتقييم جميع أنشطة المنظمة وتوفير أقصى قدر ممكن 
من الخدمات للمؤسسة. لا يمكن التوقع بأن يكون المدققون الداخليون متساوين - بغض 
النظر عن كثرتهم - في الخبرات الفنية والتشغيلية الخاصة بالعديد من الأنشطة المختلفة 
للمؤسسة. لكن ومع ذلك» يمكن للمدققين الداخليين مساعدة هؤلاء الأفراد المسؤولين في 
تحقيق نتائج أكثر فاعلية من خلال تقييم الضوابط القائمة وتوفير أساس للمساعدة على 
تحسين تلك الضوابط وكذلك الممارسات الخاصة بحوكمة تقنية المعلومات ذات الصلة. 

بعض اللعلومات الأساسية عن دور التدقيق الداخلي قد تكون ذات فائدة. فعلى الرغم 

ار التاريخية القديمة للتدقيق الداخلي؛ فإنه لم يتم إدراك أو الاعتراف مدى أهميته 
من قبل العديد من المؤسسات ومدققيها الخارجيين حتى ثلاثينيات القرن الماضي. فقد 
كان السبب الرئيسي للاهتمام بمهنة التدقيق الداخلي والاعتراف به يعود في المقام الأول إلى 
إنشاء هيئة الأوراق المالية والبورصة الأمرد يكية (580) في عام ٤‏ وتغير أهداف وتقنيات 
التدقيق الخارجي في ذلك الوقت. وفي هذا القت ماما حرضت اللات المتحدة وة 
دول العام لكساد 655108:م06 اقتصادي كبير بكل المقاييسء والذي كان أكثر شدة من 
الركود 166655108 العالمي الكبير الذي بدأ في عام .۲٠٠۸‏ وف إجراء تشريعي تصحيحي» 
طالبت هيئة الأوراق المالية والبورصة الأمريكية (558:0) المؤسسات المسجلة بضرورة تقديم 
بيانات مالية معتمدة من مدققي حسابات مستقلين. كما دفع هذا المطلب أيضا الشركات 
إلى القيام بإنشاء إدارات التدقيق الداخلي» ولكن مع الحفاظ على الهدف الرئيسي في 
مساعدة مدققيها المستقلين. حيث قام المدققون الماليّون الخارجيون وقتها بالتركيز على 
إبداء آرائهم حول نزاهة القوائم المالية للمؤسسة ندلآ من الكة عل كقف ثقاط الخسف 
الموجودة في الرقابة الداخلية. وقد حثت قواعد هيئة الأوراق المالية والبورصة الأمريكية 
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(©580) على التدقيق القائم على عينة محدودة من المعاملات: إلى جانب المزيد من الاعتماد 
على إجراءات الرقابة الداخلية. 

وقد كان المدققون الداخليون في ذلك الوقت معنيين في المقام الأول بفحص السجلات 
المحاسبية والكشف عن الأخطاء والمخالفات المالية. وكانوا في كثير من الأحيان أكثر قليلا من 
مساعدين لمدققي الحسابات الخارجيين المستقلينء والمكلفين بتنفيذ التسويات المحاسبية 
الروتينية أو بمثابة أفراد للدعم المكتبي. وقد استمرت آثار هذا التعريف القديم للتدقيق 
الداخلي في بعض الأماكن حتى أوائل السبعينيات من القرن الماضي. على سبيل المثال» حتى 
سبعينيات القرن الماضي كان "المدققون" العاملون في العديد من المنظمات التي تمارس 
عمليات البيع بالتجزئة هم الأشخاص الذين يقومون بعد النقدية وترصيد آلات تسجيل 
النقدية (تذكر تلك؟) في نهاية كل يوم عمل. 

وعلى الرغم من أنه هناك أصواتا أخرى تطالب بضرورة عمل شيء لتحسين إمكانيات 
المدققئ الغاز جين وال تفادة متها يفسكل أفضل: فإن هتاك أمورا قف بذأت بالفعل بعد 
أن أتم فيكتور ز. برينك )"81 .7 :17160 أطروحته الجامعية عن التدقيق الداخلي قبل 
الخروج للخدمة في الحرب العابلية الثانية. وبعد انتهاء الحربء عاد برينك لتنظيم ورئاسة 
التدقيق الداخلي لشركة فورد موتور (210101 1014): وقد نشرت أطروحته الجامعية في 
الطبعة الأولى من الكتاب المرجعي القياسي المتاح الآن عن هذا الموضوع: التدقيق الداخلي 
الحديث''' „(Modern Internal Auditing)‏ 

وقد انطلق معهد المدققين الداخليين (114) في الوقت نفسه تقريباء في عام ۱۹٤١‏ من 
خلال تأسيس الفرع الأول له في نيويورك» وسرعان ما تبعه إنشاء فرع آخر في شيكاغو. وقد تم 
تشكيل المنظمة من قبل الأشخاص الذين تم منحهم لقب "مدقق داخلي" من قبل مؤسساتهم: 
والذين يريدون تبادل الخبرات وا معارف المكتسبة مع الآخرين في هذا المجال المهني الجديد. 
وبذلك تمت عملية ولادة هذه المهنة وارتفاع مكانتها وأهميتها منذ ذلك الحين. 

كانت مهنة التدقيق الداخلي الحديث في أربعينيات القرن الماضي تتطلب مجموعة 
من المهارات المهنية المختلفة تماما عما هي عليه اليوم. على سبيل المثالء لم تكن بعض 
الأجهزة الإلكتروميكانيكية وأنشطة مختبرات الأبحاث ونظم الحاسب الرقمية موجودة في 
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ذلك الوقت. هذا بالإضافة إلى عدم حاجة المؤسسات في ذلك الوقت إلى مبرمجي الحاسب 
الآلي حتى بدأت تصبح بعض آلات الجدولة البدائية مفيدة في حفظ السجلات وغيرها من 
المهام الحسابية والمحاسبية. وبا مثلء كانت مؤسسات الاتصالات الهاتفية بدائية جداء فقد 
كان يقوم مشغلو لوحة التوزيع (المقسم) بتحويل جميع ال مكالمات الواردة إلى عدد محدود 
من الهواتف ال مكتبية. أما اليوم» فلدينا بالطبع موارد لتقنية ا معلومات ترتبط جميعها من 
خلال الشبكة الإلكترونية الضخمة للإنترنت المكونة من الاتصالات السلكية واللاسلكية في 
كل أنحاء العالم. وقد أدى التعقيد زايا للأعمال وغيرها في ا مؤسسات الحديثة إلى الحاجة 
إلى مدققين داخليين ليصبحوا م متخصصين أكثر من أي وقت مضى في مختلف ضوابط الأعمال. 


لقد لعب هؤلاء المدققون الداخليون الأوائل ف كثير من الأحبان دورا معد هد ! چا ف 
المؤسسات التابعين لهاء في ظل مسؤولياتهم المحدودة نسبياً من مجموع الطيف الإداري. 
فالمدقق الداخاي الأول كان يُنظر إليه غالبا على أنه مراجع للسجلات امالية وأنه ضابط 
شرطة أكترمن كو زلا ق العمل: ق بعض اللؤسس ات كان لدف اللدققين الداغلبية 
مسؤوليات كبيرة في تسوية الشيكات الملغاة للمرتبات مع البيانات المصرفية أو مراجعة 
الحسابات الموجودة في المستندات النظامية للأعمال. 


ومع مرور الوقتء ازداد حجم وشدة تعقيد العمليات التشغيلية في العديد من مؤسسات 
الأعمالء الأمر الذي استحدث مشاكل إدارية وضغوطا جديدة على الإدارة العليا. وقد كانت 
ردة الفعل الطبيعية لذلكء هو إدراك العديد من كبار المديرين أن هناك احتمالات لتحسين 
الاستفادة من المدققين الداخليين. كان هناك بالفعل أفراد تم تعبينهم في وظيفة التدقيق 
الداخلي للمؤسسة: ويبدو أنه كان هناك سبب وجيه للحصول على قيمة أكبر من هؤلاء 
الأفراد مع زيادة طفيفة نسبيا في التكلفة. 

وفي الوقت نفسه. أدرك المدققون الداخليون هذه الفرصء وقاموا باستحداث العديد من 
أنواع الخدمات الجديدة. وبذلك أخذ المدققون الداخليون على عاتقهم ونا مسؤوليات 
أكر وأكثز تركيزاً على الإدارة في أعمالهم. ولآن التدقيق الداخلي كان في البداية معدا نحو 
المحاسبة إلى حد كبيرء فقد كان الشعور بهذا الاتجاه التصاعدي بداية في مجالات المحاسبة 
والرقابة المالية: فبدلا من مجرذ التبليخ غن المخالفات المحاسبية ذات الصلة - مثل بعض 
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الوثائق التي تخلو من توقيع المشرف - بدأ المدققون الداخليون بالاستفسار عن عمليات 
الرقابة الشاملة التي هم بصدد مراجعتها. ومن ثم» بدأ عمل تقييم التدقيق الداخلي يمتد 
ليشمل العديد من المجالات غير اطالية في المؤسسة. 

وقد تسببت قواعد ومبادرات الأعمال الجديدة في الولايات المتحدة. مثل إطار الرقابة 
الداخلية (050©). الذي تم الحديث عنه في الفصل الرابع من هذا الكتاب» أو متطلبات 
قانون ساربينز أوكسلي (×50)» االموضحة في الفصل الثاني من هذا الكتاب» في الزيادة 
المستمرة للحاجة إلى خدمات المدققين الداخليين. وبالإضافة إلى ذلك فإن بعض المؤثرات 
البيئية الحديثة قد أوجدت احتياجات جديدة في مجالات مثل الحماية من المخاطر الصناعية 
وتقديم الدعم لبرامج مراقبة الجودة ومستويات مختلفة لمسؤوليات العملء متضمناً ذلك 
المعايير الأخلاقية. هذه الحاجة إلى المعابير الأخلاقية تشمل معايير أعلى لحوكمة الشركات» 
وزيادة مشاركة مجالس الإدارةء ولجان التدقيق التابعة لهاء ودوراً أكثر نشاطا لأصحاب 
المصالح» وقدرا أكبر من الاستقلالية للمحاسب القانوني الخارجي. 

أما اليوم فقد توسعت أنقطة التدقيق الداخلي لتصل إلى جميع المجالات التشغيلية 
للمؤسسة وقد حجزت لها مكانا يحظى بالتقدير والاحترام على أنه جزء من أعمال 
ومجهودات الإدارة العليا. إن المدقق الداخاي اليوم يخدم وبشكل رسمي وفعال لجنة 
التدقيق التابعة لمجلس الإدارةء وإن مدير التدقيق الداخلي (8411)) اليوم لديه مستوى 
مباشر وفعال للتواصل مع تلك اللجنة نفسها الخاصة بالتدقيقء وإن هذا الوضع العام 
يعكس تقدما كبيرا في نطاق تغطية التدقيق الداخلي ومستوى الخدمة لجميع مجالات 
المؤسسة. إن مهنة التدقيق الداخلي نفسهاء من خلال تنميتها الذاتية وتطبيقها كما ينبغيء 
أسققة في تحقيق هذا التقدم» وتمهيد الطريق لاستمرار الاتجاه التصاعدي لها. فهي الآن 
تعن مكونا هاما من وتات اتخات الفعالة لحوكمة فة وهات 
التدقيق الداخلي ومدقق تقنية المعلومات: 

لقد تحدثنا عن تطور كل من مهنة التدقيق الداخلي ومعهد المدققين الداخليين 114 
كذلك» وهو المنظمة اللهنية العاممية للتدقيق الداخلي. وعلى الرغم من أنه يجب على أي 
منظمة مهنية أن تقوم بتقييم أو تقدير احتياجات أعضائها في ضوء الظروف ال متغيرة» فإن 
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من الممكن أن تكون هذه التغيرات في بعض الأحيان بطيئة بعض الشيء. أصابت تلك 

التغيرات معهد المدققين الداخليين (114) في غضون فترة النمو الهائل في نظم وعمليات تقنية 
المعلومات» والذي رها يكون قد بدأ في أوائل السبعينيات من القرن الماضي. قد أدرك في ذلك 
الوقت عدد كبير ومتزايد من المدققين الداخليين أن تلك النظم والعمليات الجديدة الخاصة 
بتقنية المعلومات قد قدمت مجموعة واسعة من القضايا الجديدة للرقابة الداخلية: إلا أن 
المنظمة المهنية للتدقيق الداخلي التابعين لها لم تقدم الإرشادات أو الدعم الفني الكافي. 

تم تشكيل المنظمة المهنية الجديدة التي سميت بعد ذلك بجمعية مدققي معالجة 
البيانات الإلكترونية 4550121053 E۲ Auditors‏ لدعم هؤلاء العاملين الجدد بالتدقيق 
الداخلي. ويرمز الاختصار 8102 إلى معالجة البيانات الإلكترونية Electronic Data)‏ 
2,258 وهو أحد المصطلحات القدمة لنظم وعمليات تقنبة ال معلومات. وَيعْرّف 
هؤلاء المهنيون اليوم بأنهم مدققو تقنية المعلومات كما يطلق على المنظمة المهضة الرئيسية 
التابعين لها الآن اسم جمعية ضبط وتدقيق نظم المعلومات Information Systems)‏ 
»)A dit and Control Association‏ وهي فة مهنية هامة في مجال حوكمة تقنية 
ا معلومات وقد تقدم ذكرها للمرة الأولى في الفصل الخامس من هذا الكتاب. يكون مدققو 
تقنية المعلومات غالبا متخصصين في الإدارات التقليدية للتدقيق الداخليء ولكن يرتبطون 
کا کات المحاسية القائوتنة ال رة أو العمل كذلك فة عد هناد ين خصوصيين. 
ولهم دور هام جداً في وضع ومتابعة العمليات الفعالة لحوكمة تقنية المعلومات في المؤسسة 

يتعين على كبار مديري الأعمال فهم أدوار ومسؤوليات المدققين الداخليين فيما يخص 
حوكمة تقنية المعلومات في مؤسساتهم» مع إيلاء المزيد من الاهتمام بأخصائيي تدقيق 
تقنية المعلومات التابعين لها. فبالإضافة إلى الدور الذي يلعبه التدقيق الداخلي في تقديم 
التقارير إلى لجنة التدقيق التابعة مجلس الإدارة. له دور ووظيفة خاصة ا في المؤسسة. 
فهو بشكل عام يعمل بصفته نوعا من أنواع الوظائف التعاونيةء فهو يقوم بوضع الجدول 
الزمني والأنشطة الخاصة به غير أنه يدعم الإدارة العليا من خلال المراجعات والأنشطة 
والتقييمات. وستتحدث الأقسام التالية عن بعض المسؤوليات الهامة للتدقيق الداخلي في 
حوكمة تقنية ال معلومات المؤسسية. 
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أنشطة التدقيق الداخلي ومسئولياته المرتبطة بحوكمة تقنية المعلومات: 

"كن حذراء فالمدققون قادمون!" لقد شاع استخدام هذا النوع من التحذيرات في الماضي 
القريب عندما كانت إدارة التدقيق الداخلي تخطر مدير المؤسسة بأنهم قاموا بإعداد 
جدول زمني لمراجعة أحد التطبيقات أو العمليات الخاصة بتقنية ا معلومات بشكل عام 
أو بعض المجالات الأخرى ذات الاهتمام. وقد كانت ردة الفعل الطبيعية وقتها لصاحب 
عمليات تقنية المعلومات هي أن يقول بأن عمليات التدقيق المخطط لها قد تمت جدولتها 
في "الوقت غير المناسب" وذلك للعديد من الأسباب. ومع ذلك كان موعد التدقيق الداخلي 
المخطط له قد تم تحديده قريباء وأن التدقيق الداخلي سيقوم بإجراء المراجعات الخاصة 
بهم» وسيتم إعداد تقارير عن النتائج» وسيكون المدير وقتها هو المسؤول عن الرد على 
جميع الملاحظات الخاصة بالتدقيق وتنفيذ الإجراءات التصحيحية الموصى بها. 


إن كبار المديرين بحاجة إلى فهم وإدراك مجمل عملية التدقيق الداخلي والكيفية التي 
يتم من خلالها جدولة وتنفيذ عمليات التدقيق الداخلي ومن ثم القيام بإعداد التقارير 
الخاصة بها. وبالرغم من احتمالية وجود العديد من الاختلافات: اعتمادا على حجم ودرجة 
تعقيد المنظمة وأهداف عملية التدقيق» فإن العملية النموذجية للتدقيق الداخلي تحتاج 
إلى جدولة عملية المراجعة والقيام بتقييم المخاطر وتنفيذ إجراءات التدقيق الضرورية؛ ومن 
ثم إعداد تقارير عن نتائج التدقيق وإرسالها إلى إدارة ولجنة التدقيق. لسنا هنا بصدد 
وصف الكيفية التي يتم من خلالها تنفيذ عمليات التدقيق الداخلي» ولكننا نهدف بشكل 
عام إلى تحقيق فهم لهذه العملية. ومع ذلك فالنقطة الأساسية هنا هي أن الأشخاص 
الذين يقومون بتنفيذ عمليات التدقيق الداخلي لا ينبغي أن يتصرفوا بصفة استشاريين 
داخليين. وكما وضحنا في وصفنا المختصر للمعايير المهنية للتدقيق الداخلي في القسم التاليء 
فإنه يتعين على ال مديرين التنفيذيين الذين م يشاركوا بشكل مباشر في عملية التدقيق 
الداخلي أن يدركوا أن الدور الرئيسي للتدقيق الداخلي هو فحص ومراجعة واختبار الضوابط 
الداخلية والعمليات المرتبطة بها. أما إذا تصرفت وحدة التدقيق الداخلي كما لو كانت 
هيئة استشارية داخلية. وجب أن يتم اتخاذ ترتيبات منفصلةء وف مثل هذه الحالة يتعين 
على جميع الأطراف أن تدرك أن الأنشطة الاستشارية الداخلية منفصلة ومختلفة عن 
أنشطة التدقيق الداخلي. 
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عملية التدقيق الداخلي: التخطيط لعمليات التدقيق الداخلي ومنح الترخيص الخاص بها: 

إن إدارة التدقيق الداخلي في المؤسسة النموذجية ليست إدارة منفصلةء مثل إدارة 
المشتريات أو حساب المقبوضات أو الإدارة الهندسية» وإنما إدارة التدقيق الداخلي وكذلك 
رئيس التدقيق الداخلي - يسمى عادة مدير التدقيق الداخلي (041) - هو من يقوم 
بإعداد التقارير وإرسالها مباشرة إلى لجنه التدقيق التابعة لمجلس الإدارة. وقد تم فرض 
هذا المطلب في الولايات المتحدة. من قبل هيئة الأوراق المالية والبورصة الأمريكية (5800). 
وعلى الرغم من أنه قد يكون لعملية التدقيق الداخلي علاقة اسمية بعملية إعداد التقارير 
وإرسالها إلى المدير المالي (170©) أو بعض الوظائف الإدارية الأخرى» فإنه يجب أن يكون 
للتدقيق الداخلي علاقة مستقلة مع لجنة التدقيق. 

ويتم التكليف للقيام بأنشطة التدقيق الداخلي من خلال وثيقة رسمية تعرف بميثاق 
التدقيق الداخليء والتي تتم الموافقة عليها من قبل لجنة التدقيق» وتمنح فريق التدقيق 
الداخلي السلطة الكاملة لإجراء مراجعات مستقلة وفحص للمواد. فمن منظور حوكمة 
تقنية المعلومات: على سبيل المثال» فإن وثيقة الميثاق تَعْطي فريق التدقيق الداخلي السلطة 
للدخول على العمليات التشغيلية مركز البيانات ومراجعة التقارير والمواد السرية الأخرى 
التي تعد جزءا من عمليات التدقيق المخطط لها. 

الشكل التوضيحي )1-١15(‏ يُعد مثالا لميثاق التدقيق الداخلي لإحدى الشركات» وهي 
الشركة العاطية لمنتجات الحاښب Computer Products)‏ 10021 )): وهو نموذج الشركة 
الذي تم استخدامه سابقا. إذ يبين هذا الميثاق بوضوح "تعليمات التقدم 12121125 
5 الخاصة بإحدى إدارات التدقيق الداخلي. وعندما يكون لدى المسؤول التنفيذى 
للشركة أي شكوك تتعلق بأنشطة وسلطة المدققين الداخليينء ينبغي عليه أن يطلب الاطلاع 
على نسخة من ميثاق التدقيق الداخلي الخاص بهم. فإذا تبين أن هذا الميثاق قد أهمل 
بعض المجالات كالقضايا المتعلقة بحوكمة تقنية المعلومات أو أنه منتهي الصلاحية: فإنه 
يتعين على المسئول التنفيذي أن يطلب من رئيس لجنة التدقيق C4۴‏ الشروع في إجراءات 
تحديث الطيثاق. 


لات دليل المسئول التنفيذي لحوكمة تقنية المعلومات 


دور التدقيق الداخلي في الحوكمة 


شكل توضيحي (۱-۱۹) 


عينة لميثاق التدقيق الداخلي 


إدارة التدقيق الداخلي 


مهمة التدقيق الداخلي: 
إن مهمة التدقيق الداخلي للشركة العللمية لمنتجات الحاسب (sاuc Computer Prod‏ اobaاG‏ )هو التأكد 
من أن عمليات الشركة تتبع معايير عالية. وذلك من خلال توفير إدارة ضمان مستقلة وموضوعية وتقديم 
المشورة بشأن أفضل الممارسات. فباستخدام نهج منظم ومنضبط: يساعد التدقيق الداخلي الشركة العالمية 
منتجات الحاسب على تحقيق أهدافها من خلال تقييم وتحسين فاعلية إدارة المخاطر والرقابة الداخلية 


وعملبات الحوكمة. 


الاستقلالية والموضوعية: 

لضمان الاستقلالية فإن تقارير التدقيق الداخلي تقدِّم مباشرة إلى لجنة التدقيق التابعة مجلس الإدارة 
وللحفاظ على الموضوعية» فإن التدقيق الداخلي لا يشارك في عمليات التشغيل اليومية للشركة أو إجراءات 
الرقابة الداخلية. 

النطاق والمسؤوليات: 

يشمل نطاق عمل التدقيق الداخلي مراجعة إجراءات إدارة المخاطر والرقابة الداخلية ونظم تقنية 
المعلومات وعمليات الحوكمة. ويشمل هذا العمل أيضا الاختبار الدوري للمعاملات ومراجعة أفضل الممارسات 
والتحقيقات الخاصة وتقييم المتطلبات القانونية والتنظيمية والقياسات للمساعدة في منع واكتشاف الاحتيال. 

للوفاء بمسؤولياتهاء يتعين على التدقيق الداخلي: 

- تحديد وتقييم المخاطر المحتملة لعمليات تشغيل المؤسسة. 

- مراجعة مدى كفاية الضوابط اللوضوعة لضمان الامتثال للسياسات والخطط والإجراءات وأهداف العمل. 

- تقييم موثوقية وأمن المعلومات المالية والإدارية والنظم الداعمة وعمليات التشغيل التي تنتج هذه المعلومات. 

- تقييم وسائل حماية الأصول. 

- مراجعة العمليات القائمة واقتراح تحسينات لها. 

- تقييم استخدام الموارد فيما يتعلق بالاقتصاد والكفاءة والفاعلية. 

- متابعة التوصيات للتأكد من أن الإجراءات التصحيحية الفعالة يتم اتخاذها وتطبيقها فعلا. 

- تنفيذ التقييمات أو التحقيقات أو المراجعات المتعلقة بموضوع ما والمطلوبة من قبل لجنة التدقيق والإدارة. 





دليل المسئول التنفيذي لحوكمة تقنية ا معلومات ov‏ 


الفصل التاسع عشر 


سلطة التدقيق الداخاي: 

من أجل تعزيز ضوابط فعالة بتكلفة معقولةء يصرح للتدقيق الداخليء في حدود نطاق أنشطته: بأن 
يقوم ب: 

- دخول جميع مناطق عمليات التشغيل للشركة العالية لمنتجات الحاسب والحصول على أي وثائق 
وسجلات تعتبر ضرورية لإتمام المهام المكلفة بها. 

- مطالبة جميع أعضاء طاقم العمل والإدارة بتزويدهم بالمعلومات والإيضاحات المطلوبة خلال فترة 
زمنية معقولة. 

المساءلة: 

يتعين على التدقيق الداخلي أن يقوم بالتنسيق مع إدارة ولجنة التدقيق» بإعداد الخطة السنوية للتدقيق 
التي تعتمد على مخاطر العمل ونتائج التدقيقات الداخلية الأخرىء ومدخلات الإدارة. ويجب أن تقدّم الخطة 
للإدارة العلياء متضمناً ذلك المستشار العام» للموافقة عليها من قبل لجنة التدقيق. وإن كان هناك أي تعديلات 
ضرورية على الخطة ينبغي إرسالها والموافقة عليها من قبل لجنة التدقيق. 

إن التدقيق الداخلي هو ا مسؤول عن التخطيط والتوجية وإعداد وتقديم التقارير ومتابعة مشاريع 
التدقيق المدرجة في خطة التدقيق واتخاذ قرار بشأن نطاق وتوقيت هذه التدقيقات. وسيتم الإبلاغ عن 
نتائج كل عملية من عمليات التدقيق الداخلي من خلال تقرير التدقيق التفصيلي الذي يلخص أهداف 
ونطاق التدقيق وكذلك الملاحظات والتوصيات. وف جميع الحالات. سيضطلع عمل المتابعة بضمان 
الاستجابة الكافية لتوصيات التدقيق الداخلي. وسوف يعدم التدقيق الداخلي أيضا تقريرا سنويا إلى الإدارة 
العليا وإلى لجنة التدقيق حول نتائج أعمال التدقيق» متضمنا ذلك التعرض للمخاطر المؤثرة وقضايا الرقابة. 

المعابير: 

يلتزم التدقيق الداخلي للشركة العاطمية طنتجات الحاسب باطعايير واطممارسات اطهنية الصادرة عن معهد 
المدققين الداخليين ومعهد حوكمة تقنية المعلومات كذلك. 





بينما قد تلزم أو تطلب لجنة التدقيق من الرئيس التنفيذي للتدقيق الداخلي °۸۴ 
وإدارة التدقيق الداخلي التابعين لها القيام بإجراء إحدى المراجعات المحددة للتدقيق 
الداخاي؛ يقوم التدقيق الداخلي عادة من خلال التقييمات المستمرة للمخاطر أو طلبات 
الأعضاء الآخرين في الإدارة أو من خلال خبراتها المكتسبة من عمليات أخرى كانت قد أجرتها 
للتدقيق الداخلي - بتطوير خطط قصيرة الأجل وأخرى طويلة الأجل لعمليات التدقيق 
الداخلي التي تخطط لتنفيذها خلال الفترة القادمة. فبالاعتماد على هذه الخطة وكذلك 
على عمليات التدقيق المكتملة في الماضي القريب» يتعين على الرئيس التنفيذي للتدقيق 


0 دليل المسئول التنفيذي لحوكمة تقنية المعلومات 


دور التدقيق الداخلي في الحوكمة 


CAE‏ اتخاذ جمیع التدابير والترتيبات الضرورية الخاصة موظفي التدقيق الداخلي وغيرها 


عملية التدقيق الداخلي: تدشين عملية التدقيق الداخلي: 

يوضح الشكل التوضيحي (5-15) العمليات اللازمة لإجراء عملية التدقيق الداخلي 
المكونة من أربعة مراحل أو خطوات مختصرة. ومع أن الخطة السنوية تستلزم أن 
يتم إجراء التدقيق الداخلي في أحد المناطق » فإنه من باب المجاملةء وبشكل عام 
تقتضي أن يقوم التدقيق الداخلي بالعمل مع المنطقة التي يتم مراجعتها لجمع بعض 
التفاصيل الأولية حول المنطقة محل المراجعة وجدولة عملية التدقيق. هناك العديد 
من التشاطات لكل مرخلة هن اللراغل اللوضحة الق كل غلل مسل الخال تدعو 

المرحلة ذات المستوى الأعلى الى: 

ه جدولة التدقيق: بعد أن تم وضع الخطة السنوية الشاملة للتدقيق وال معتمدة من قبل 
لجنة التدقيق» يجب أن يتم وضع جدول زمني لعملية التدقيق المحددة, مع الأخذ بعين 
الاعتبار الاحتياجات الخاصة موارد التدقيق واعتبارات الوقت الخاصة بالجهة الخاضعة 
للتدقيق. وغيرها من العوامل. 

ه تعين المدققين: يكون هناك غاليا ندرة في ال موارد البشرية العاملة في تدقيق تقنية 
المعلومات. لذا يجب إيلاء المزيد من الحرص والاهتمام لعملية تعيين أخصائيي تدقيق 
تقنية المعلومات للمهام ال مناسبةء في حين أن المدققين الداخليين ذوي المهارات الأخرى 
ينبغي أن يتم تعيينهم في الأماكن الأنسب لهم. 

٠‏ إجراء التقييمات الأولية للتدقيق: قد يقوم التدقيق الداخلي بجدولة عمليات المراجعة 
الخاصة بتقييم الضوابط الداخلية لإحدى النظم أو العمليات» ولكن قبل البدء في العمليات 
الفعلية للتدقيقء يكون من الضروري القيام بجمع المزيد من المعلومات المتعلقة با منطقة 
المراد مراجعة عملياتها وإجراء بعض التقديرات الأولية حول مداها وعمقها وجميع الضوابط 
الداخلية وا مخاطر المرتبطة بهاء وبالأساليب المستخدمة لتقييم المنطقة المراد مراجعتها. 


دلبل المسئول التنفيذي لحوكمة تقنية المعلومات لايات 


الفصل التاسع غشر 


شكل توضيحي (19-؟) 


عملية أداء التدقيق الداخلي 


العمليات الأساسية لأداء التدقيق الداخلي 











العمليات الفرعية الداعمة للتدقيق الداخلي 









٠‏ توثيق العمليات الخاصة بالمنطقة التي يتم تدقيقها: يعد التوثيق ال مناسب مطلباً رئيسياً 
لجميع أعمال التدقيق الداخلي. ولا يكفي القول بأن لدى إحدى العمليات ضوابط 
داخلية كافية. فالمدقق الداخلي يجب عليه أن يقوم بجمع الأدلة الوثائقية لإثبات أن 
هذه الضوابط كافية في الوقت الذي يقوم فيه المدقق بال مراجعة. 


OVA‏ دليل المسئول التنفيذي لحوكمة تقنية المعلومات 


دور التدقيق الداخلي في الحوكمة 


٠‏ تقييم الضوابط الداخلية: إن تقييم الضوابط الداخلية في الحقيقة هو جوهر عملية 
التدقيق الداخلي. فالمدقق الداخلي يأخذ الضابط الداخلي الذي هو بصدد تقييمه ويقوم 
بوضع خطة اختبار لتقييم هذا الضابط. وقد يحتاج ذلك إلى جمع أدلة التدقيق وإجراء 
اختبارات التدقيق» كما هو مبين في المستوى التالي للعمليات الموضحة بالشكل. 

٠‏ تحضير وإعداد النتائج: يقوم المدقق الداخلي باختبار وتقييم الضوابط الداخلية من خلال 
استخدام مجموعة متنوعة من الأساليب» والتي تبدأ من الاختبار الرسمي للمعاملات إلى 
الحصول على الانطباعات من خلال المقابلات أو الملاحظات: وهي تسمى غالبا نتائج 
التدقيق الداخاي. وقد تجد نتائج وملاحظات الاختبار هذه طريقها أخيرا إلى تقرير 
رسمي للتدقيق الداخلي يلخص تلك النتائج والتوصيات الخاصة بالتدقيق. 

لقد قمنا للتو بوصف الخطوات الرئيسية في عملية التدقيق الداخلي» فالمدقق الداخلي 
سوف هر بالنمط نفسه من الخطوات في كل منطقة من المناطق التي يقوم مراجعتها. لا 
يهدف هذا الفصل إلى تقديم وصف شامل للكيفية التي يتم من خلالها إجراء عملية التدقيق 
الداخلي لكبار المسؤولين التنفيذيينء ولكن يهدف إلى إعطاء فهم للعمليات اللازمة لإجراء 
التدقيق الداخلي المناسب. ستبقى هذه الخطوات الأساسية هي نفسها سواء أكانت لمراجعة 

الضوابط المالية لإحدى العمليات أم لمراجعة أحد تطبيقات النظم الخاصة بتقنية ا لمعلومات. 


عملية التدقيق الداخلي: مراجعة أدلة التدقيق واختبارها: 

يحتاج الجزء الأكبر من عملية التدقيق الداخلي إلى جمع ومراجعة واختبار ما يُطلق 
عليه المدققون الداخليون اسم أدلة التدقيق ٥١٥e‏ dاvء‏ ]ؤ0ناخ. فقد يسأل المدقق الداخلي 
عن حالة التوثيق الخاصة بأحد التطبيقات الجديدة لتقنية المعلومات» ويتم إخباره بأن 
التوثيق "حديث”.. فإذا كان التظام أو التطبيق ثانوياء ققد يقوع اللدقق باعتماة وتدوين 
تلك الإجابة والمضي قدما. في جميع الأحوال فلكي يكون لدينا أدلة قوية على حداثة ذلك 
التوثيق» فقد يقوم المدقق الداخلي بطلب مراجعة التوثيق الفعاي للتأكد من وجودها. 
ومزيد من التفاصيلء قد يقوم المدقق الداخلي بالتعمق أكثر في التوثيق وفحص أمور منها 
على سبيل ال مثال مدى ملاءمة التنقيحات التي تمت عليهاء أو أن يقوم بإجراء المزيد من 
الفحوصات المختلفة ليرى ما إذا كانت هذه الوثيقة كافية وداعمة لضوابط النظام. 


دلبل ام مسئول التنفيذي لحوكمة تقنية المعلومات 0۹ 


الفصل التاسع عشر 


تتطلب هذه العملية برمتها أن يقوم المدقق الداخلي بتقييم مدى كفاية أدلة التدقيق 
الموجودة وإجراء بعض التقييمات بناء على عمل التدقيق الداخلي. الشكل التوضيحي 
(1- س أنواعا معتلفة من أذلة القافيق حمق الأقورى إل الأخصف.. .وس العموة الاي 
أنواع أدلة التدقيقء فتقنية التدقيق الخاصة بمشاهدة ممارسة ما على أرض الواقع تعد أقوى 
بكثير من مجرد الإخبار عن تلك الممارسة. لا توجد أي مطالبة تتعلق بوجوب دعم كل 
أعمال التدقيق الداخلي من قبل أقوى مستويات الأدلة. حيث إن طبيعة التدقيق الداخلي 
والمخاطر المرتبطة بها تعد من العوامل المحددّة للمسغوى المطلوب لأدلة التدقيق: إنه 
يجب دائماً على المدير الأول الذي يعمل مع المدققين الداخليين ويقوم بمعالجة التوصيات 
الناتجة عنهم أن يأخذ في الحسبان الطريقة التي يستخدمها هؤلاء المدققون في جمع أدلة 
التدقيقات الداعمة لنتائجهم واستنتاجاتهم الموثقة. 


عملية التدقيق الداخلي: تقديم التقارير الخاصة بنتائج التدقيق الداخلي: 

يجب أن تُخْتَتَم الأعمال الخاصة بعملية التدقيق الداخلي بتقرير رسمي يصف الأهداف 
التي من أجلها تمت هذه المراجعة في منطقة ماء وما الإجراءات المتبعة لتقييم الضوابط 
الداخلية الخاصة بهذه الأهداف التدقيقيةء وما الذي تم اكتشافه. وما إذا كانت الضوابط 
الداغلية اللوجوذة قد قَيّمَتَ بشكل كاف أم لا فى معظم الحالاتء تجد أن هذه التقازير 
الخاصة بعملية التدقيق سوف تؤدي إلى توصيات رسمية تتعلق بإجراء تحسينات على 
الرقابة الداخلية بناء على نتائج التدقيق في المجال الذي تمت مراجعته. وعلى الرغم من 
أن الممارسات قد تختلف باختلاف المؤسسات: فإن تقارير التدقيق الداخلي عموما ستحتاج 
إلى استجابة إدارية رسمية تقر بنتائج التدقيق الداخلي وتوضح الكيفية التي سيستخدمونها 
لتصحيح أوجه القصور في الرقابة المبلغ عنها بالتقرير. 


0 دليل المسئول التنفيذي لحوكمة تقنية المعلومات 


دور التدقيق الداخلي في الحوكمة 


شكل توضيحي (۴-۱۹) 


تصنيفات جوانب قوة التدقيق الداخلي الخاصة بأدلة التدقيق 





تصنيفات أدلة التدقيق الداخلى الأدلة الداعمة القوية أضعف المستويات لأدلة 
التي تم جمعها ا لاستنتاجات التدقيق التدقيق الداخلي 
الملاحظات / التأكيدات 
| العلاقة مع الجهة الخاضعة للتدقيق | إدارة خارجية >> أمجموعةداخلية_>1_ | 
شکلالالة أمحوب/ضممين شتی ا 
تم إنشاؤه ف نظام فعلى 


a3 


لا يتم تعميم التقارير الخاصة بعملية التدقيق على المؤسسة. فهي تكون عادة موجهة 
فقط إلى منطقة محددة من مناطق المؤسسة التي تمت مراجعة عملياتها وإلى مديريها 
المباشرين وإلى الإدارة العليا في المؤسسة كذلك» مثل الرئيس التنفيذي والمدير ا مالي وشريك 
التدقيق الخارجي ولجنة التدقيق. إن نتائج التدقيق السيئة لعمليات التشغيل في إحدى 
الوحدات التي تمت مراجعتها سوف تؤدي إلى جعل التركيز بالفعل ينصب على الإدارة 
للقيام بتصحيح أو إصلاح أوجه القصور في الرقابة الداخلية في تلك الوحدة. وقد يكون ذلك 
أحد العناصر الهامة في حوكمة تقنية المعلومات. 

يُواجه المدققون الداخليون غالبا في العديد من المناطق التي يقومون فيها بمراجعة 
غملياتها مشاكل تتعلق بضيق الوقت وقلة الموارد اللازمة لمراجعة وتدقيق جميع المناطق 
ذات المخاطر العالية في المؤسسات الكبيرة بصورة كافية. فعلى سبيل المثال» كان مؤلف 
هذا الكتاب في فترة من الفترات يعمل مديرا لإحدى عمليات التدقيق الداخلي الخاصة 
بإحدى الشركات الأمريكية الكبرى التي تحتوي على العديد من الوحدات التشغيلية: وكان 
لكل وحدة تشغيلية ثلاثة من مديري التدقيق الداخلي وما يقارب ثمانين موظفا يعملون 
في مجال التدقيق الداخلي. فعلى الرغم من التحليل المكثف للمخاطر والخطط السنوية 
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المنظمة جيدا لعمليات التدقيق الداخلي» فإنه كان من الصعب استكمال جميع عمليات 
التدقيق المخطط لها وتغطية جميع المخاطر. لذا تم تعديل الخطط وإعادة ملاءمتها بصورة 
منتظمة بسبب الأزمات الجديدة للأعمال التي تتطلب المزيد من أنشطة التدقيق. إن 
الأنشطة الاحتيالية المكتشفة حديثاء على سبيل المثال: من شأنها أن تحول أنشطة التدقيق 
الداخلي الأخرى للمساعدة في التحقيق في مزاعم الاحتيال على نحو أفضل. 

وينبغي على القارئ الذي يريد الحصول على مزيد من ا معلومات حول التدقيق الداخاي 
ودوره في حوكمة تقنية المعلومات أن يعود إلى كتاب المؤلف السالف الذكرء التدقيق 
الداخاي الحديث لبرينك .)Brink's Modern Internal Auditing)‏ فهذا الكتاب يضع 
تعريفاً لهيكل ال معرفة الشائع للتدقيق الداخلي » وا مجالات الواسعة التي يجب على المدقق 
الداخلي أن يعرفها ويفهمها. 

معايير التدقيق الداخلي الخاصة بحوكمة تقنية المعلومات: 


إن المنظمة المهنية للمدققين الداخليين» معهد المدققين الداخليين (114)» هي المسؤولة 
عن إصدار معايير الممارسة والسلوك لجميع المدققين الداخليين» وذلك على أساس عالمي. 
هذه الإرشادات الرسمية عبارة عن مزيج من بيانات ا معايير الإلزامية المطلوبة والضرورية 
ممارسة مهنية مستمرة لعملية التدقيق» بالإضافة إلى سلسلة من ممارسات اطعايير الموصى 
بهابقوة. إن هذه المعايير الخاصة معهد المدققين الداخليين تذهب إلى ما هو أبعد من 
أن تكون مجرد معايير لحوكمة تقنية المعلومات» فهي تغطي نشاطات التدقيق الداخلي 
للحوكمة على أساس واسع. فعلى سبيل ال مثالء ينص المعيار 42 .2110 لمعهد المدققين 
الداخليين 114 والخاص بالأداء على أن: 
"نشاط التدقيق الداخلي يجب أن يُقيّيم ويحدد ما إذا كانت حوكمة تقنية المعلومات التابعة 
للمنظمة تحافظ على إستراتيجيات وأهداف المنظمة وتدعمها." 
وعلى الرغم من الأسلوب العام المستخدم في صياغة المعيار» فإنه يطلب ف الأساس من 
المدقق الداخلي أن يقوم بتقييم ما إذا كانت البنية التحتية لتقنية المعلومات ف المؤسسة 
ملائمة وكافية للعمليات التشغيلية للأعمال والمحافظة عليها بحيث يتم إدارة جميع 
الأهداف الطويلة الأجل للمؤسسة بأكملها بشكل صحيح. 
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إجراءات التدقيق الداخاي الخاصة بحوكمة تقنية المعلومات: 

استنادا إلى حديثنا في الفصول السابقة عن حوكمة تقنية ا لمعلومات. فإن الأهداف 
الرئيسية لحوكمة تقنية المعلومات هي التأكد من أن الاستثمارات في تقنية المعلومات 
توجد قيمة للأعمال» وتخفف من المخاطر المرتبطة بعمليات ونظم تقنية المعلومات. يمكن 
للعديد من الأنشظة الخاصة مراجعات عمليات التدقيق الداخلي أن تلعب دورا رئيسيا 
في دعم حوكمة تقنية المعلومات في المؤسسة. مثال على ذلك. نشاط التدقيق الداخلي 
ا لمستمر لتقنية ا معلومات عبارة عن مراجعات وتقييمات للخطط الخاصة باستمرارية تقنية 
المعلومات المؤّسسية: التي كانت تسمى في فترة من الفترات خطط التعافي من كوارث تقنية 
المعلومات في زمن نظم الحاسبات المركزية. وإن إدارة تقنية المعلومات في ا مؤسسة تحتاج 
إلى عملبات معمول بها لاستعادة العمليات التشغيلية والموارد الخاصة بتقنية المعلومات 
وإعادتها إلى مستوياتها التشغيلية الطبيعية في حال حدوث عطل ما طويل الأجل في خدمات 
تقنية المعلومات. إن مراجعات وتقييمات التدقيق الداخلي في هذا المجال تدعم إلى حد 
كبير عمليات حوكمة تقنية المعلومات في اممؤسسة. 

وقد تدعم عمليات التدقيق الداخلي إلى حد كبير العمليات الخاصة بحوكمة تقنية 
ا معلومات المؤسسية من خلال إجراء المراجعات والتقييمات في هذه المجالات العامة. 
الشكل التوضيحي (6-15) يحدد خمسة مجالات عامة يجب أن يركز عليها التدقيق 
الداخلي أثناء مراجعاته لحوكمة تقنية المعلومات: إيصال القيمة وإدارة المخاطر والموارد 
والأداء وقضايا التوافق الإستراتيجي. إن المعابير المهنية للتدقيق الداخلي تتطلب المستويات 
التالية من أنشطة أعمال المراجعة لعملية التدقيق الداخلي: 
« مراجعة وتقييم عملية إيصال القيمة المرجوة من إدارة تقنية ا معلومات» وكيف تتماثى 

تقنية المعلومات مع رسالة ورؤية وقيم وأهداف وإستراتيجيات المنظمة. 
٠‏ مراجعة ما إذا كان لدى إدارة تقنية المعلومات بيان واضح عن الأداء المتوقع للعمل (من 
حيث الفاعلية والكفاءة) وتقييم مدى إنجازه. 


٠‏ مراجعة وتقييم فاعلية عمليات إدارة موارد تقنية المعلومات وأدائها. 
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شكل توضيحي (159-غ) 


مجالات تركيز التدقيق الداخلي لحوكمة تقنية المعلومات 


¥ 








35 مراجعة وتشييم التوافق مع امتطلبات القانونيه والسئية ومتطلبات جود المعلومات 
والمتطلبات الائتمانية والأمنية. 
٠‏ مراجعة وتقييم البيئة الرقابية للمنظمة. 


٠‏ مراجعة وتقييم المخاطر التي قد تؤثر سلبا في بيئة تقنية المعلومات. 
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دور التدقيق الداخلي في الحوكمة 


يجب أن يدرك ويعترف المديرون التنفيذيون للأعمال غير المشاركين في مهام التدقيق 
الداخلي بأن إدارة التدقيق الداخلي هي كيان مستقل في المؤسسة» ولا يستطيع أي مدير 
تنفيذي من خارج لجنة التدقيق أن يقوم بإعطاء توجيهات لعملية التدقيق الداخلي للقيام 
بإجراء مراجعات في منطقة ما. وأن خطط مراجعة التدقيق الداخلي الخاصة بهم ينبغي 
ألا يتم وضعها إلا من خلال موافقة لجنة التدقيق. ومع ذلكء ينبغي أن يشعر الموظفون 
التنفيذيون للعمليات التشغيلية في المؤسسة أو إدارة تقنية المعلومات بأن لديهم مطلق 
الحرية في أن يسألوا الرئيس التنفيذي للتدقيق وغيره من أعضاء إدارة التدقيق الداخلي 
عن خططهم وأنشطتهم الحالية في مراجعة النواحي الرئيسية التي تخص حوكمة تقنية 
المعلومات فى اللؤّسسة. 


مراجعات التدقيق الداخلي لعمليات التوافق الإستراتيجي لتقنئة المعلومات: 

ومن ضمن الخطط السنوية والأنشطة الجارية لإدارة تقنية المعلومات في المؤسسة: أنه 
يجب على التدقيق الداخلي القيام بتقييم ما إذا كانت تلك الخطط والعمليات التشغيلية 
الخاصة بتقنية المعلومات تنسجم مع أنشطة الأعمال الأخرى في المؤسسة. العنصر الرئيسي 
لتحقيق ذلك هو أنه يجب على جميع العمليات التشغيلية لتقنية المعلومات» متضمنا ذلك 
تطوير النظم وإدارة الجودة ومعالجة تقنية المعلومات أن تنسجم مع العمليات التشغيلية 
للأعمال. بمعنى أنه يجب أن يكون للعمليات التشغيلية لتقنية ا معلومات قيمة وموقع 
تنافسي في المنتجات والخدمات التي تقدمها المؤسسة. إن إدارة تقنية المعلومات يجب أن 
تسعى جاهدة للحفاظ على تكاليفها من خلال تحسنن الكفاءة والفاعلية الإدارية. وعلى 
الرغم من آن هذه الأمور تمثل كل النداءات الخاصة بإدارة تقنية المعلومات والإدارة العامة 
فإنه يجب دائماً على إدارة التدقيق الداخلي القيام بطرح بعض الأسئلة الصعبة أثناء قيامها 
بمراجعة أنشطة الأعمال. 

كما ذكرنا سابقاء فإن الإدارة الفعالة لتقنية المعلومات ينبغي أن يكون لديها نوع من 
أنواع اللجان التوجيهيةء التي تقوم بمهمة التخطيط الطويل الأجل حيث يمكن أن يلتقي 
مزيج متنوع من مستخدمي موارد تقنية المعلومات مع إدارة تقنية المعلومات ليقوموا 


مراجعة أو الموافقة على المقترحات الجديدة وتحديد الأولويات المتعلقة بالأعمال الجديدة. 
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يجب على عمليات تدقيق تقنية المعلومات أن توصي وتشدد على وجود وجاهزية هذه 
الإدارة الفعالةء كما يجب أن تشارك في أغلب الاجتماعات التي تجريها تلك اللجنة التوجيهية. 
ويجب أن تقوم اللجنة التوجيهية بوضع إستراتيجية بعيدة ا لمدى لأنشطة واستثمارات 
تقنية المعلومات وال مراجعات الدورية للتدقيق الداخليء من خلال المشاركة غير الفعالة في 
جلسات اللجنة التوجيهية أو المراجعات الرسمية للتدقيق الداخليء وينبغي تأكيد أن تكون 
هذه الإستراتيجية لتقنية المعلومات في موضوع التنفيذ وجاهزة للعمل. 

لا بد من وجود نهج متكامل لعمل المؤسسة وإستراتيجية تقنية ا معلومات؛ ومهام ذات 
مسؤولية تشاركية بينهما. وبالإضافة إلى ذلك: وعلى الرغم من أن إدارات تقنية المعلومات 
تكون ملامة أحياناً على تبنيها لأساليب جديدة وغير مجربةء فإنه يجب أن يكون هناك 
تصريح واضح بأهداف تلك الأساليب المتبعة. وقد تمثل عملية التدقيق الداخلي من خلال 
مراجعاتها وتعليقاتها التدقيقية الصوت الفعال للمساعدة في ضمان تحقيق هذه الأهداف. 


مراجعات التدقيق الداخلي لعمليات إيصال قيمة تقنية المعلومات: 

يجب أن تكون مراجعات التدقيق الداخلي مصممة لضمان استمرار تقديم تقنية 
المعلومات لفوائدها المرجوة وفق إستراتيجياتها المعلنة. إن الفكرة هنا هي أن المشاريع 
الجديدة لتقنية المعلومات. سواء كانت عمليات تطبيقية جديدة أو محسنة أم أدوات 
ومعدات جديدة يتم اقتراحها للحصول على الفوائد المتوقعة. ومع أنه من المؤكد أن 
عملية التدقيق الداخلي لن تكون قادرة على مراجعة جميع هذه الأعمالء نتيجة الأولويات 
المفروضة ومحدودية الموارد. فإنه يجب القيام بعملية تقييم دوري للفوائد المعلنة لاكتشاف 
ما إذا كانت الأهداف المعلنة قد تم تحقيقها بالفعل أم لا. ينبغي أن يبحث التدقيق 
الداخلي عن عوائد الاستثمار الرسمية: والتكلفة الإجمالية للملكيةء ووسائل لقياس أعمال 
تقنة اللعلومات. 

وكما تحدثنا في الفصل السادس عشر من هذا الكتاب عن موضوع إدارة ا مشروعات» 
فإن إدارة تقنية المعلومات المؤسسية ينبغي أن يكون لديها عملية رسهية متعارف عليها 
ومعمول بها لإدارة مشاريع تقنية ا معلومات لإيصال الفوائد إلى العمليات التشغيلية للأعمال. 
إن تقييم إيصال القيمة يتجاوز كثيراً العمليات التقليدية للتدقيق الداخلي التي تركز على 
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الضوابط الداخليةء ويتطلع لإيصال قيمة أفضل للعمليات التشغيلية لتقنية ا معلومات. كما 
أن هناك حاجة إلى التزام رسمي لوضع منهجيات رسمية للتطوير الشامل لعملية تقديم 
خدمات تقنية المعلومات. 

إن هذا المفهوم لمراجعات التدقيق الداخلي الخاصة بعمليات تقديم خدمات تقنية 
المعلومات يتجاوز الكثير من الجهود المبذولة في المراجعات الاعتيادية للتدقيق الداخلي. وقد 
ناقش الفصل السادس من هذا الكتاب موضوع تقديم خدمات تقنية المعلومات على أنه جزء 
من المفاهيم الخاصة بالإطار آيتل وإدارة خدمات تقنية المعلومات. إن الإدارة الفعالة للتدقيق 
الداخلي تحتاج لاستيعاب هذه المفاهيم ومزجها مع الإجراءات الأخرى للتدقيق الداخلي. 


مراجعات التدقيق الداخلي لعمليات إدارة مخاطر تقنية المعلومات: 

كما أكدنا في الفصل الثامن من هذا الكتاب الذي يدور حول إدارة المخاطر وف الشروحات 
الأخرق طوال هذة القصول» فان إذارة لاط قد مقهوما مهما جدا بالنسبة الحوكية 
تقنية المعلومات. وأن فهمها ووضعها محل التقدير ينبغي أن يكون بالفعل جزءا من جميع 
مراجعات التدقيق الداخلي. وهذا يتطلب توعية من كبار المسؤولين عن الرغبة في المخاطر 
الخاصة بالمؤسسة. لذا يجب تضمين مسؤوليات إدارة مخاطر تقنية المعلومات في جميع 
مستويات العمليات التشغيلية للأعمال. وهذا ا مجال يهتم غالبا بعمليات تقنية المعلومات 
حيث كانت هناك ميول تاريخية لتجربة أساليب جديدة للنظم أو التقنيات مع القليل من 
الفهم لأي مخاطر مرتبطة بها. وعلى الرغم من أن إدارة تقنية المعلومات ومستخدمي 
تقنية المعلومات ينبغي أن يكونوا هم المسؤولين في هذه الحالةء فإنه يكون هناك غالبا ميل 
لتجربة بعض الأساليب الجديدة وغير المجربة مع قليل من التفكير في المخاطر إذا فشلت. 
ويمكن للتدقيق الداخلي في كثير من الأحيان أن يكون فعالا جدا من خلال أخذ دور محامي 
الشيطان في طرح الأسئلة الصعبة بوصفها جزءا من مراجعاتها. 

إن العمليات المناسبة لإدارة المخاطر ينبغي أن تركز على حماية أصول تقنية المعلومات 
ودعم النظم من خلال إجراءات التعافي من الكوارث والخطط الفعالة لاستمرارية العمليات 
التشغيلية. لقد كان هذا هو المجال التقليدي لمراجعات التدقيق الداخلي وتدقيق تقنية 
المعلومات» وينبغي تأكيدها على أنها جزء من أنشطة مراجعة حوكمة تقنية المعلومات. 


دلبل المسئول التنفيذي لحوكمة تقنية المعلومات OAV‏ 


الفصل التاسع عشر 


ينبغي أن تركز جميع مراجعات التدقيق الداخلي على التوعية بمخاطر تقنية المعلومات 
على أساس من الشفافية لجميع أصحاب المصالح: ولا ندامن ذل الجهوة من أجل تضمين 
إذازة ا ااا جوا فخا لال وضيان اللؤسسة. مخض :ذلك سقيقة غ أن 
إدارة التدقيق الداخلي يجب أن تذهب إلى ما هو أبعد من مجرد المراجعات ال متخصصة 
لتدقيق تقنية ا معلومات وإضافة مخاوف إدارة مخاطر تقنية المعلومات لجميع المراجعات 
التي تغطي مجالات حوكمة تقنية المعلومات. وبالإضافة إلى العمليات الشاملة للتدقيق 
الداخليء فإن هناك حاجة إلى إنشاء تقييمات فعالة لإدارة العملية على أنها جزء من 
مراجعات التدقيق الداخلي. 


مراجعات التدقيق الداخلي لعمليات إدارة موارد تقنية المعلومات: 

يتعين على التدقيق الداخلي لتقنية المعلومات أن يراجع ويقيم بانتظام فاعلية عملياته 
الخاصة بإدارة موارد تقنية المعلومات وأدائها. ففي العديد من المؤسساتء تعد مرافق تقنية 
المعلومات وعملياتها التشغيلية إحدى الاحتياجات الرئيسية فيها - إن لم تكن الرئيسية 
لوارد المئؤسسة. وينبغي على الإدارة أن تستثمر في هذه الموارد الخاصة بتقنية المعلومات 
من خلال خطط رسمية لمشروعات طويلة المدى والعمليات المتبعة في وضع اميزانيات. 
وقد قامت الفصول الأخرى بتغطية مسائل تتعلق بإدارة موارد تقنية المعلومات من منظور 
عمليات التشغيل الشاملة. على سبيل اللثال: الفصل الرابع عشر من هذا الكتاب ناقش 
أهمية إدارة محافظ وتهيئة تقنية ال معلومات لتكون وسيلة لإدارة وضبط الأصول اللتنوعة 
لتقنية المعلومات بشكل أفضل. وكذلك ناقش الفصل السابع عشر من هذا الكتاب اتفاقيات 
مستوى الخدمة ليكون وسيلة لتعظيم قيمة استثمارات الأعمال. 

يجب على التدقيق الداخلي أن يخطط ويطور سلسلة من المراجعات في هذه المجالات 
الخاصة بإدارة موارد تقنية المعلومات. وفحوى ذلك أنه من الصعب على إدارة التدقيق 
اناي مجرد إطلاق مراجعة لإدارة موارد تقنية المعلومات» عندما يكون الموضوع والمجال 

ا واا تدا لمراجعة واحدة للتدقيق الداخلي. بل يجب على التدقيق الداخلي 
أن يطور وينفذ مراجعات متخصصة في العديد إن لم يكن جميع مجالات حوكمة تقنية 
المعلومات التي تمت مناقشتها في هذه الفصول. 


ااه دليل المسئول التنفيذي لحوكمة تقنية المعلومات 


دور التدقيق الداخلي في الحوكمة 


مراجعات التدقيق الداخلي لعملىات قياس أداء تقنية المعلومات: 

يجب تطوير تقنيات لقياس الأداء للمساعدة في ترجمة الإستراتيجيات إلى أفعال 
من أجل تحقيق وقياس إنجازات أهداف تقنية المعلومات. هذا النوع من الأدوات 
ممكن أن يقيس العلاقات والأصول اللازمة لتحقيق التركيز على العميل وكفاءات العملية 
والتسهيلات لمساعدة المؤسسة وإدارات تقنية المعلومات الخاصة بها بشكل كاي في 
التعلم والنمو. هذه الأنواع من الأدوات تتبع عملية تقديم المشاريع ومتابعة خدمات 
تقنية المعلومات. 

الشكل التوضيحي (0-15) يوضح أنواع أنشطة مراجعة وتقييم التدقيق الداخلي اللازمة 
لتعزيز حوكمة تقنية ا معلومات في المؤسسة. إن هذا الشكل على مستوى عال جدا ولكن 
يؤكد أن المدققين الداخليين بحاجة إلى مراجعة نظم وعمليات تشغيل تقنية المعلومات 
للمساعدة في تحسين العمليات الشاملة للرقابة الداخلية للمؤسسة وتبسيط وتحسين هذه 
العمليات ورفع توصية بمجالات معينة لأتمتتها بشكل أفضلء واقتراح مجالات يتم عمل 
توحيد قياسي لعملياتها ونظمها بشكل أفضل. 

إن مجالات مراجعة التدقيق الداخلي هذه تغطي مجموعة واسعة من أنشطة e‏ 
التي تتجاوز شروحات التدقيق الداخلي السابق تلخيصها في هذا الفصل والتي دق وا ن 
أفضل ممارسات التدقيق الداخلي الشائعة لاحتياجات ال معرفة. إن الإدارة الفعالة للتدقيق 
الداخلي ينبغي أن تكون عنصرا رئيسياً في تعزيز العمليات الفعالة لحوكمة تقنية ا معلومات 


دليل المسئول التنفيذي لحوكمة تقنية ا لمعلومات 0۸۹ 


الفصل التاسع غشر 


شكل توضيحي (0-19) 


أنشطة مراجعة التدقيق الداخلي لحوكمة تقنية المعلومات 


إعادة تشكيل ضرابط المع ا 

له مرب ودب >>[ EZS‏ 
الحد من تكرار الضمان 

ا 


دسم ديد زد عطاوق >[ میدید | 
تحسين / سيط ضوابط السخلات والمخرجات 


إعادة ثميين الأدوار والمسئوليت 
ل زداجية رادل نرب CENG‏ 
الحد من إزدواجية الادرار رالسلرلبات 


ترصية برظيفة رقابية مملد رمحسلة : 
وريم >[ e‏ 


لحسين للف المملرمات عبر المؤسسة zz:‏ 
دسب ادل لمات >>[_لكفل د | 
للفيد الملابمة المسثمرة الضر TE TFS‏ 
النشر الدرري لأدوات برمجيات الثباس 
تحسين بساطة روضرح اللوثيق 
وضع سار مطل لقوق |_| 
للفيد لدريب مناسب على النظم والمملية 
التأكد من أن الشريب بطيئ بإسثمرار >> | الريب على السلية |- 





إنشاء عمليات لقياس الرقابة 
الم 


ملاحظة: 
.١‏ الآن في طبعته السابعة. Brink's Modern Internal Auditing‏ تم نشره من خلال 
جون وايلي واولاده» عن طريق روبرت ر. مولر كمؤلف. 
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الفصل العشرون 
بناء ثقافة أخلاقية في محل العمل والحفاظ عليها 


كما تحدثنا في الفصول السابقة: فإنه لا بد من دمج عمليات حوكمة تقنية المعلومات مع 
عمليات التشغيل الأساسية لأعمال المؤسسة ويجب أيضا أن تقع مسؤولية ضمان العمليات 
الصحيحة لحوكمة تقنية المعلومات على عاتق إدارة كل وحدة تابعة أو وحدة أعمال في 
المؤسسة أينما كانت. وباعتبار المؤسسة أحد العناصر الأساسية في هذا الصدد. فإنه يجب 
عليها أن تلتزم بتحقيق أعلى معايير الأخلاق والنزاهة في جميع مجالات عملياتها التشغيلية. 
يجب أن تبدأ نزاهة المؤسسة بالتزام كل أصحاب المصلحة وكل موظف بالقيم الأساسية 
للمؤسسة وبمسؤوليته لأداء دوره بالشكل الذي يتوافق مع تلك القيم ويخدمها. 

يناقش هذا الفصل أهمية أخلاقيات العملء وسياسات الحوكمة في المؤسسة: وهياكل 
الإشراف والعمليات. والخطوات اللازمة لإنشاء إدارة فعالة لأخلاقيات العمل» ووضع وتطبيق 
قوانين فعالة للسلوك: وإنشاء لجنة فعالة لامتثال المؤسسة تحت رئاسة مجلس الإدارة. إن 
هدفنا هو ذكر بعض أفضل الممارسات التي يمكن للمؤسسة اتباعها وتطبيقها لإرساء ثقافة 
أخلاقية في مكان العمل. 

لا تقتصر القضايا وأفضل ال ممارسات المذكورة في هذا الفصل على عمليات تشغيل تقنية 
المعلومات وحوكمة تقنية الملعلومات بل تمتد لتشمل جميع جوانب المؤسسة. ومع ذلك 
فإن أفضل الممارسات مثل مدونة قواعد السلوك الفعالة للمؤسسة وبيان المهمة (الرسالة) 
المدعومة من الإدارة العليا ينبغي أن تحصل على الدعم من جميع أصحاب المصلحة في 
المؤسسة. ويجب أن تكون النتيجة النهائية هي بناء الثقافة الأخلاقية في مكان العمل. 


أهمية بيانات المهمة (الرسالة): 

لقد ناقشت الفصول السابقة من هذا الكتاب العديد من القضايا الهامة في حوكمة 
تقنية المعلومات» وركز معظمها على الحاجة إلى وضع معايير وعمليات فعالة لحوكمة تقنية 
المعلومات» مثل الفصل السابع من هذا الكتاب المتعلق بممعايير الأيزو الخاصة بالحوكمة؛ 


دليل المسئول التنفيذي لحوكمة تقنية ا لعلومات o۹‏ 


الفصل العشرون 


أو الفصل الثاني عشر من هذا الكتاب أيضا الفاضن ساق خومات خعابات كه شل تفده 
ا معلؤمات. إذ يركز كل فصل من هذه الفصول على مجالات محددة لتحسين عمليات 
تشغيل تقنية المعلومات في المؤسسة. في جميع الأحوالء فإن البيان الفعال لمهمة أو رسالة 
المؤسسة: والذي يغطي كل جوانب عمليات التشغيل وجميع أصحاب المصلحةء ينبغي أن 
يكون غنصرا أساسيا ق إرساء ممارسات فعالة لحوكمة تقتية اللعلوهات: 


تحتاج كل مؤسسة بغض النظر عن حجمها إلى بيان مهمة أو رسالة لوصف جميع 
أهدافها وقيمها. وينبغي أن تكون تلك الرسالة بمثابة مصدر للتوجيه - بوصلة - تسمح 
للموظفين والعملاء وا مساهمين وغيرهم من أصحاب المصلحة بمعرفة ما تمثله المؤسسة وما 
لا تمثله. لقد كان بيان الرسالة في السنوات الماضية في كثير من الأحيان أكثر بقليل من مجرد 
نهار لطيف لكنه يدو مرف آما الوم قيجب أن کون البيان الفحال لرسالة ؤس ة 
عنصرا مهما جداً في أي برنامج لأخلاقيات الإدارة والحوكمة الرشيدة للشركات. قد يكون 
البيان الفعال للرسالة أحد الأصول العظيمة للمؤسسة والذي يسمح لها بتحقيق جميع 
أهدافها وأغراضها على نحو أفضل. 

على الرغم من مرور سنين طويلة على أزمة جونسون أند جونسون تايلينول [٠1101‏ 
Johnson 116201‏ & التي وقعت أوائل تمانينيات القرن الماضيء فإنها لا تزال تقدم مثالا 
جيداً على أهمية البيان القوي لمهمة أو رسالة المؤسسة والذي يعمل كبوصلة لتقديم 
التوجيه ا مناسب. تعد شركة جونسون آند جونسونء واحدة من كبار موردي المنتجات 
الطبية» حيث قامت بتصنيع دواء شائع مسكن للأ ويؤخذ بدون وصفة طبية يسمى 
تايلينول 191601'. وقد كانت هذه الأدوية تباع وقتها في زجاجات تغلق من الأعلى 
بسدادة لولبية. وقد قام أحد الأشخاص القاطنين في منطقة شيكاغو بفتح عدة زجاجات 
من دواء تايلينول هذاء وقام بغش محتوياتها بإضافة مادة السيانيد إليهاء وقام بوضع هذه 
الزجاجات محل زجاجات أخرى على رفوف المتجر. وقد توفي العديد من الأشخاص الذين 
قاموا بشراء هذا التايلينول الملوث في وقت لاحق نتيجة تعرضهم للتسمم. وقد أشارت 
التحقيقات التي أجريت على هذه الحالات بسرعة إلى جونسون آند جونسون والتايلينول 
الملوت بالسيانيد. 


#6 ديل المستول التنفيذي لحوكمة تقنية اللعلومات 


بناء ثقافة أخلاقية في محل العمل والحفاظ عليها 


هذا الأمر برمته قد وضع شركة جونسون آند جونسون تحت وطأة ضغوط هائلة. 
فقد كانت الشركة تعلم تماما أنها تمتلك عمليات قوية جداً ومعمولا بها لضبط الجودة 
التي من شأنها أن تمنع حدوث مثل هذا التلوث السام داخل مرافق التصنيع الخاصة بها. 
وعلمت أيضا أن المنتجات الملوثة قد ظهرت فقط في منطقة شيكاغو: في حين أن تايلينول 
كان موجودا على رفوف المتاجر في جميع أنحاء العام. إن عملية السحب الكلي للمنتج 
ستكون مكلفة للغاية. ومع ذلك» فإن شركة جونسون آند جونسون م تقم بسلسلة طويلة 
من التحقيقات الداخلية وقد قامت بسرعة باتخاذ الإجراء الصحيح. وقامت بسحب كل 
منتجات تايلينول الخاصة بها من رفوف المتاجر في جميع أنحاء العام» وبعد ذلك قامت 
بإعادة إصدارها لهم في عبوات مختومة بتصميم جديد. وعندما سئلت الشركة اذا قامت 
بإصدار مثل هذا القرار بسرعة والخاص بسحب المنتج بالكامل رغم تكلفته العالية جدا 
ورغم عدم وجود دليل على أنها كانت على خطأء أفادت الشركة بأنه لم تكن هناك حاجة 
لتأخير القرار. إن توجه شركة جونسون آند جونسون ورسالتها قد أملت عليها ذلك القرار. 
إن توجه جونسون آند جونسون ينص وبشدة على أن المسؤولية الأولى للشركة هي توفير 
منتجات عالية الجودة لعملائها. ويمكن العثور على نص هذا التوجه على موقع الويب 
الخاص بشركة جونسون أند جونسون وهي مبينة في الشكل التوضيحي .)١1-3١(‏ في وقت 
أزمة التايلينول» كان الجميع في شركة جونسون آند جونسون على علم بهذا التوجهء فقد تم 
نشر هذه التوجه على نطاق واسع ف مرافق المؤسسة:. وم يكن هناك حاجة وقتها لاتخاذ 
قرار بذلك. إن هذا الأمر المؤسف برمته قد أبرز بالفعل أهمية وجود بيان قوي لمهمة أو 
رشالة س 

يعد البيان القوي لرسالة الشركة عنصراً هاما في أي مبادرة من مبادرات الأخلاقيات 
وحوكمة الشركات. وعلى الرغم من أن معظم الشركات لن تواجه أزمة في مستوى أزمة 
شركة جونس ون آند جونس ون مع تايلينول الملوث التي حدثت في ثمانينيات القرن الماضيء 
فإن قواعد قوية من هذا النوع قد ساعدت بعض الشركات لتجنب الفضائح المحاسبية في 
السنوات الأخيرة بصورة أفضلء تلك الفضائح التي أدت إلى ظهور قانون ساربينز أوكسلي 
(502) كما وضحنا في الفصل الثاني من هذا الكتاب. 


دلبل المسئول التنفيذي لحوكمة تقنية المعلومات 040 


الفصل العشرون 


شكل توضيحي (۱-۲۰) 
توجه أو بيان مهمة جونسون آند جونسون 

توجهنا (كما نشرت في 2دم».[::[) 

نحن نؤمن أن مسؤوليتنا الأولى هم الأطباء وا ممرضات وال مرضى حتى الأمهات والآباء والجميع 
غيرهم ممن يستخدمون منتجاتنا وخدماتنا. وفي سبيل تلبية احتياجاتهم فإن كل شيء نقوم به يجب 
أن يكون ذا جودة عالية. ويجب أن نسعى جاهدين وبصفة مستمرة لخفض تكاليفنا من أجل الحفاظ 
على أسعار معقولة. إن طلبات العملاء يجب تلبيتها بسرعة وبدقةء ويجب أن يكون لدى موردينا 
وموزعينا فرصة لتحقيق ربح عادل. 

نحن مسؤولون عن موظفيناء الرجال والنساء الذين يعملون معنا في جميع أنحاء العالم. يجب 
أن يُنظر إلى كل فرد كإنسان» ويجب علينا احترام كرامتهم والاعتراف بفضلهم. يجب أن يكون لديهم 
ق عور بالأدى ق وظاتقيي والسويض مهب أن يكون عادلا وها سيا اج واد العمل فيفك ومنظية 
وآمنة. يجب علينا أن نفكر في طرق لمساعدة موظفينا حتى يستطيعوا الوفاء مسؤولياتهم الأسرية. 
يجب أن يشعر ال موظفون أنهم أحرار في تقديم الاقتراحات والشكاوى. يجب أن يكون هناك تكافؤ 
فرص للعمل والتنمية والتقدم لأولئك المؤهلين. يجب أن نوفر الإدارة المختصة: ويجب أن تكون 
تصرفاتهم عادلة واخلاقية. 

نحن مسؤولون عن المجتمعات التي نعيش ونعمل فيها وا مجتمع الدولي أيضا. يجب أن نكون 
مواطنين صالحين - ندعم الأعمال الصالحة والجمعيات الخيرية ونتحمل نصيبنا العادل من الضرائب. 
يجب علينا أن نشجع التحسينات المدنية وتحسين الصحة والتعليم. ويجب أن نبقي على الممتلكات 
امصرح لنا باستخدامها في حالة جيدة: نحمي البيئة والموارد الطبيعية. 


مسؤوليتنا النهائية تكون تجاه أصحاب المصلحة لدينا. العمل يجب أن يجني ربحاً سليماً. لا 
بد لنا من تجربة أفكار جديدة. يجب أن يتم إجراء البحوث بشأن ابتكار برامج متطورة ودفع ثمن 
الأخطاء. يجب شراء المعدات الجديدة وإطلاق الوسائل الجديدة المتوفرة والمنتجات الجديدة. يجب 
إقهناء التسياطيات لتخطية أوقات الفسي عنما تعمل وفقا ليذه ادي يديقى أن صفق أصحاب 


اة عاقد| ا 





المصدر: جونسون اند جونسون. 


بناء ثقافة أخلاقية في محل العمل والحفاظ عليها 


يتعين على إدارة المؤسسة القيام بتقييم أي بيان ممكن أن يكون موجودا اليوم لرسالة 
المؤسسة أو النظر في صياغته وإطلاق بيان آخر جديد إذا لزم الأمر. وإذا كان هناك موظفون 
أو غيرهم من أصحاب المصلحة ليسوا على علم بوجود أي بيان خاص بمهمة الشركة أو إذا 
كانوا ينظرون إليه بشيء من السخرية»ء فإن هناك حاجة إلى إعادة النظر في تلك الوثيقة 
ومراجعتها. تجد غالبا أن الضرر الناتج عن بيان الرسالة السيء الصياغة يتجاوز نفعه» بل 
ويؤدي إلى ظهور أعضاء في المنظمة ممن يقاومون التغيير يعبرون عن سخريتهم وعدم 
سعادتهم حيال ذلك. إذا لم يكن لدى المؤسسة أي بيان للمهمة أو القيم: فقد يكون هناك 
قيمة كبيرة في تكوين فريق يقوم بوضع بيان يعكس القيم والمقاصد العامة للمؤسسة. إذا 
تعرض البيان الحالي لمهمة المؤسسة إلى التهكم أو السخرية من خلال استبيانات استقصاء 
آراء أصحاب المصالح» إذا فقد حان الوقت لصياغة وتنقيح هذا البيان بعناية. من ناحية 
أخرى» إذا تم تعميمه دون أي تحضيرات» فمن الممكن أن يُنظر إليه با مزيد من التهكم. 
يحد الان الحين كهمة اة أيضا اة نقطة اتظلاق دة لسانة “البقمة الماتدة 
لشركات اليوم» كما سبق مناقشته في الفصل الثاني من هذا الكتاب. 

إن البيان الجيد لمهمة المؤسسة يجب أن يؤدي إلى تقارير إيجابية عن الشركة. كما 
ينبغي أن يلهم وبكل أمل أعضاء المنظمة لتسخير طاقاتهم وحماسهم وزيادة التزامهم 
لتحقيق الأهداف والغايات. إن الفكرة الأساسية هي إيجاد الشعور بالهدف والاتجاه الذي 
سوف تتم مشاركته في جميع أنحاء المؤسسة. وبالعودة مرة أخرى بالزمن قبل عدة سنوات» 
فقد يكون أحد أفضل الأمثلة على بيان المهمة هو ما عبر عنه الرئيس الأمريكي جون ف. 
كينيدي (162264 ۴ داه[ في أوائل ستينيات القرن الماضي: 

وجب على هذه الآمة أن رغ تماما لفق اليدفه شل اتقهاء هذا العقن فوط 

الإنسان على القمر وعودته إلى الأرض ساطا". 

فقد قامت تلك الكلمات البسيطة بوصف المهمة والرؤية أفضل بكثير من وثيقة ضخمة 
تحتوي على العديد من الصفحات. وهي تسمى أحيانا بيانات القيم أو العقائد (التوجهات). 
ويمكن أيضا العثور على تلك البيانات في التقارير السنوية للعديد من المؤسسات. بعضها 
طويلء والبعض الآخر يبدو قصيرا بدرجة ملحوظة. فالبيان الأفضل هو ذلك الذي يُكتب 


دليل المسئول التنفيذي لحوكمة تقنية ا لمعلومات 0۹۷ 


الفصل العشرون 


بأسلوب قريب من صياغة التوجه الخاص بجونسون آند جونسون أو بيان الهبوط على 
سطح القمر وفق أسلوب صياغتهم. 

مجدد أن تقوم المؤسسة بوضع بيان جديد للمهمة أو الرسالة أو تقوم بتنقيح بيان 
مهمة موجود, فإنه يجب تعميمه على كل أعضاء المؤسسة مع مستوى جيد من الدعاية. 
ومن خلال استخدام نهج النغمة السائدة: فإنه يتعين على كبار المديرين شرح أسباب 
البيان الجديد للمهمة ومدى أهميته بالنسبة للمؤسسة. ويجب نشره في لوحات إعلانات 
المؤسسة وف التقرير السنوي وفي غيرها من الأماكن لتشجيع جميع أصحاب المصلحة على 
فهمه وقبوله. يجب ألا يعمل بيان المهمة بشكل منفصلء فهناك حاجة إلى سلسلة من 
الخغطوات الأساسية الأخرى لبناء إدارة فعالة للامخال والأغلاقات. ندء! من الدراسات 
الاستقصائية وغيرها من الآليات. 


مدونة قواعد السلوك للمؤسسة: 

في الوقت الذي يُعد فيه البيان القوي والفعال لمهمة الشركة عنصراً أساسيا في الهيكل العام 
لحوكمة الشركات» تعمل مدونة قواعد السلوك على توفير قواعد الدعم اللازمة لأصحاب 
المصلحة في المؤسسة. لقد كانت هذه القواعد شائعة في الشركات الكبرى لسنوات عديدة 
ويطالب قانون ×50 اليوم الشركات بوضع مدونة أخلاقيات لكبار المسؤولين الماليين. وها 
أنه قد تم فرض هذه المدونة من قبل قانون <501, فبإمكان جميع الشركات أن تستفيد من 
مدونة قواعد السلوك التي تشمل جميع أصحاب المصلحة. وعلى الرغم من أن قانون :50 
يستخدم تعبير "مدونة أخلاقيات المهنة". فإننا نشير إليها هنا باسمها الذي قد يكون أكثر 
شيوعا وهو مدونة قواعد السلوك المهني للمؤسسة. 

يجب على المؤسسة اليوم أن تضع وتطبق مدونة لقواعد السلوك المهني تشمل مجموعة 
مناسبة من القواعد الأخلاقية وقواعد العمل والقواعد القانونية لجميع أصحاب المصالح 
ف المؤسس ق..متضمنا ذلك الإذازة العلا وجميع العاملين والمقرقين وأكر فة من صاب 
المصلحة بها. يجب أن تقوم الإدارة العليا للمؤسسة بتكوين فريق مكون من أعضاء 
العمليات التشغيلية للوحدات والمديرين الماليين وممثلين عن الرقابة الداخليه وضمان 
الجودة واتصالات الشركة وال موارد البشرية وبالتأكيد الإدارة القانونية للشركة: وذلك لبناء أو 


0۹۸ دليل المسئول التنفيذي لحوكمة تقنية المعلومات 


بناء ثقافة أخلاقية في محل العمل والحفاظ عليها 


إعادة بناء مدونة فعالة لقواعد السلوك المهني والتي تشجع الممارسات الأخلاقية للأعمال 
في جميع أنحاء اللؤسسة. 


المحتويات: ماذا يجب أن تكون رسالة المدونة؟ 

ينبغي أن تكون مدونة قواعد السلوك عبارة عن مجموعة من القواعد أو التوجيهات 
الواضحة التي لا لبس فيها ولا غموض والتي تحدد ما هو متوقع من أعضاء المؤسسة. 
سواء كان المتوقع من المسؤولين آم من الموظفين أو المقاولين أو البائعين أو أي من 
أصحاب المصالح الآخرين. وينبغي أن تستند المدونة إلى القيم والقضايا القانونية المحيطة 
بالمؤسسة. بمعنى أنه على الرغم من أن جميع المؤسسات يفترض تبنيها طمدونة قواعد 
السلوك المهني بما فيها محظورات ضد التمييز الجنسي والعنصريء فإننا نجد أن مقاول 
الدفاع'' الذي يكون لديه العديد من القضايا المرتبطة بالقواعد المتعلقة بالتعاقدات 
سيحتفظ لديه بمدونة قواعد سلوك مهني مختلفة نوعا ما عن تلك الخاصة بعملية تقديم 
الوجبات السريعة. ومع ذلك. يجب تطبيق أي مدونة بهذا الشكل على جميع أعضاء 
المؤسسة من أعلى مستوى وحتى موظف الأعمال الكتابية الذي يعمل بدوام جزثي. فعلى 
سبيل المثال» فإن مدونة قواعد السلوك التي تمنع رفع تقارير مالية خاطئة يلزم أن تكون 
هي المدونة نفسهاء سواء تم توجيهها إلى المدير المالي فيما يخص التقارير المالية الخاطئة 
آم إلى الموظف الذي يعمل بدوام جز فيما يخص بطاقة الدوام الأسبوعي غير الصحيحة 
أو الاحتيالية. 


إذا كانت المؤسسة لديها بالفعل مدونة لقواعد السلوك. فإنه ينبغي على إدارة المؤسسة 
النظر في تنقيحها أو تحديثها بحسب الحاجة. في كثير من الأحيان» نجد أنه تم وضع 
المدونات القديمة لتكون بالأساس قواعد لموظفي المستوى الأدنى» مع القليل من الاهتمام 


() سی أیضا المقاول الأمني )security contractor)‏ وهي منظمة تجارية أو فرد يقدم منتجات أو 
خدمات لإدارة عسكرية أو استخباراتية تابعة للحكومة. وتشمل المنتجات عادة الطائرات العسكرية 
أو المدنيةء والسفنء والمركبات: والأسلحة: والأنظمة الإلكترونية. ويمكن أن تشمل الخدمات 
اللوجستية والدعم التقني والتدريب ودع م الاتصالات والدعم الهندمي بالتعاون مع الحكومة. 
(المترجم). 


دلبل المسئول التنفيذي لحوكمة تقنية المعلومات اذك 


الفصل العشرون 


الموجه للعديد من كبار أعضاء المؤسسة. إن المدونة الفعالة لقواعد السلوك المهني ينبغي 
توصيلها بطريقة من شأنها أن تُطبّق على جميع أصحاب المصلحة في المؤسسة. مع تركيز 
أكثر اليوم على كبار مسئولي المؤسسة. فبالتعاون مع كبار الموظفين في الإدارة ولجنة 
التدقيقء يجب على الفريق الإداري المحدد أن يقوم بفحص أي مدونة موجودة للسلوك 
المهني ليحدد ما إذا كانت قواعدها وإرشاداتها لا تزال صالحة لحوكمة الشركات في عصر 
قانون ×80. سواء بالنسبة لعملية تنقيح المدونة الموجودة حاليا لقواعد السلوك المهني 
أو بالنسبة لتطوير مدونة جديدة فإنه لا بد من تشكيل فريق مكون من شريحة إدارية 
منتقاة للقيام بهذه المهمة. بحيث يتعين على الفريق دراسة قضايا الأعمال التي تواجه 
المؤسسة ومن ثم القيام بصياغة مجموعة من قواعد المدونة القابلة للتطبيق على هذه 
المؤسسة اعتمادا على أعمالهم والقضايا ذات الصلة. ويجب أن تكون قواعد المدونة مكتوبة 
بطريقة واضحة بحيث يمكن فهم مثل هذه النقاط بسهولة من قبل الجميع. الشكل 
التوضيحي (۲-۲۰) يعرض أحد الأمثلة على موضوعات مدونة قواعد السلوك المهني. وعلى 
الرغم من أن هذه القائمة لا تنطبق على الجميع» فإن هذه الموضوعات تناسب العديد من 
المؤسسات الحديثة اليوم. فالنقطة الجوهرية هنا هي أن الرسائل المقدمة في المدونة يجب 
أن تكون واضحة ولا لبس فيها. وقد شارك مؤلف هذا الكتاب بشكل كبير ف صياغة مدونة 
قواعد السلوك لإحدى الشركات الأمريكية الكبرى منذ عدة سنوات. 


1۰ دليل المستئول التنفيذي لحوكمة تقنية المعلومات 


بناء ثقافة أخلاقية في محل العمل والحفاظ عليها 


شكل توضيحي )7-7١(‏ 
مثال لموضوعات مدونة قواعد السلوك 

فيما ياي ال موضوعات الموجودة في مدونة قواعد سلوك نموذجية لإحدى المؤسسات 
الأول: مقدمة: 

أ. الغرض من هذه المدونة لقواعد السلوك المهني: بيان عام حول خلفية هذه المدونة لقواعد 
السلوك. 

ب. التزامنا بالمعايير الأخلاقية القوية: إعادة ذكر بيان المهمة أو الرسالة إلى جانب الخطاب 
المطبوع من الرئيس التنفيذي. 

ج. أين تلتمس التوجيه أو الإرشاد: وصف لعملية الخط الساخن لأخلاقيات العمل في ايلؤسسة. 

د. الإبلاغ عن عدم الامتثال: إرشادات للمبلغين -كيف تبلغ. 

ه. مسؤوليتك عن الإقرار بالمدونة: وصف لعملية الإقرار بالمدونة. 
الثاني: التعامل العادل: 

أ. ممارسة البيع لدينا: إرشادات للتعامل مع العملاء. 

ب. ممارسات الشراء لدينا: إرشادات وسياسات للتعامل مع البائعين. 
الثالث: السلوك في مكان العمل 

أ. معايير تكافؤ فرص العمل: بيان التزام قوي. 

ب. مكان العمل والتحرش الجنسي: بيان التزام قوي بالقدر نفسه. 

ج. تعاطي اللواد المخدرة وإساءة استخدام العقاقير: بيان السياسة العامة في هذا المجال. 
الرابع: تضارب المصالح: 

أ. التوظيف الخارجي: فرض قيود على قبول طلبات التوظيف من المنافسين. 

ب. الاستثمارات الشخصية: القواعد المتعلقة باستخدام بيانات الشركة لاتخاذ قرارات تخص 
الاستثمار الشخصي. 

ج. الهدايا والفوائد الأخرى: القواعد المتعلقة بتلقي الرشاوى وتلقي هدايا في غير محلها. 

د. الموظفون السابقون: قوانين تحظر منح امتيازات للموظفين السابقين في مجال الأعمال. 

ه. أفراد العائلة: قوانين حول إسناد أعمال لأفراد الأسرةء يخلق تضاربا في المصالح. 





دليل المستول التنفيذي لحوكمة تقنية المعلومات 11 


الفصل العشرون 


الخامس: ممتلكات وسجلات الشركة: 

أ. أصول الشركة: بيان قوي حول مسؤولية الموظف عن حماية الأصول. 

ب. موارد نظم الحاسب الآلي: التوسع في بيان أصول الشركة ليعكس جميع الجوانب المتعلقة 
موارد نظم الحاسب الأآلىي. 

ج. استخدام اسم الشركة: هناك قاعدة: أن اسم الشركة يجب أن يتم استخدامه في التعاملات 
التجارية أو تعاملات الأعمال العادية فقط. 

د. سجلات الشركة: هناك قاعدة فيما يتعلق مسؤولية الموظف عن سلامة السجلات. 

ه. المعلومات السرية: قواعد حول أهمية الحفاظ على جميع معلومات الشركة السرية وعدم 
الكشف عنها لأطراف خارجية. 

و. خصوصية الموظف: بيان قوي حول أهمية الحفاظ على المعلومات الشخصية السرية للموظف 
وعدم الكشف عنها لأطراف خارجية وحتى للموظفين الآخرين. 


ز. منافع الشركة: يجب على الموظفين ألا يأخذوا من منافع الشركة ما لا يحق لهم. 


السادس: الامتثال للقانون: 

أ. المعلومات الداخلية والتجارة الداخلية: هناك قاعدة قوية لحظر الأعمال التجارية داخل الشركة 
أو الاستفادة من المعلومات الداخلية. 

ب. المشاركات والأنشطة السياسية: هناك بيان قوي حول قواعد النشاط السياسي. 

ج. الرشوة والعمولات الخفية: هناك قاعدة صارمة بشأن قبول رشاوي أو عمولات غير مشروعة. 

د. التعاملات التجارية الخارجية: القواعد المتعلقة بالتعامل مع وكلاء أجانب ما يتماشي مع قانون 
ممارسات الفساد الأحنشية. 

ه. السلامة في أماكن العمل: بيان حول سياسة الشركة لتتوافق مع قواعد“ 05114 . 

و. سلامة المنتج: بيان عن التزام الشركة بسلامة المنتجات. 

ز. الحماية البيئية: هناك قاعدة فيما يتعلق بالتزام الشركة لتتوافق مع القوانين البيئية المعمول بها. 





(*) تمشل كلمة 05114 الحروف الأولى من كلمة Occupational Safety & Health Administration‏ 
وهي إدارة السلامة والصحة اللهنية الأمريكيةء وتعد المنظمة أو المؤسسة الأكبر على مستوى العام فى مجال 
السلامة والصحة اللهنية فهى تختص بوضع معايير الحفاظ على السلامة والصحة المهنية للعاملين فى جميع 
المجالات؛ وتهدف إلى ضمان بيئة عمل آمنة وصحية لكل العاملين كما تسهم بقاعلية ف الحفاظ على الموارد 
البشرية ومن ثم رفع مستوى الجودة فى المؤسسات. (امترجم). 


بناء ثقافة أخلاقية في محل العمل والحفاظ عليها 


والمثال التالي مقتطف من تلك المدونة لقواعد السلوك الخاصة بقسم أصول الشركة: 
إننا جميعاً نتحمل مسؤولية رعاية جميع أصول الشركة متضمناً ذلك المخزون والنقدية والموارد 
واطرافق وخدمات الموظفين الآخرين وموارد نظم الحاسب الآلي. فإذا كنت ترى أو تشتبه في أن 
موظفا آخر يسرق أو يشارك في أنشطة احتيالية أو غير ذلك مما لا يحمي أصول الشركة كما ينبغي» 
فربما عليك الإبلاغ عن هذه الأنشطة إلى مديرك أو إلى مكتب أخلاقيات العمل. 
تعد هذه الكليات مثالا جيدا غا ثبرة وأسلوب الكدونة الجيدة لقواغد السلوك.. ويخ 
المسؤولية على من يتلقى المدونة ويحاول شرح القضايا بطريقه لا لبس فيهاء ويقترح 
الاستجابات للأفعال المتوقعة. 
بالإضافة إلى موضوعات وقواعد الطمدونةء فإن العديد من الشركات قد وجدت قيمة في 
إضافة مجموعة من الأسئلة والأجوبة لترافق النقاط الموجودة في المدونة: الأمر الذي يسمح 
لقارئ المدونة أن يفهم القضايا على نحو أفضل» وكذلك أنواع الأسئلة التي رها كثير من 
الموظفين البسطاء قد يسألون عنها فيما يخص قاعدة المدونة. إن مفتاح الوصول لمجموعة 
واضحة من قواعد السلوك المهني هو أنها يجب أن تكون واضحة ومفهومة بالنسبة للجميع. 
وقد يُشكل ذلك تحدياً فعلياً للتعديل بالنسبة لفريق مدونة قواعد السلوك. 
إننا م نقم بإدراج عينة من مدونات قواعد السلوك في هذا الكتاب» وذلك نظرا لاختلاف 
مدونات قواعد السلوك المهني لدى كل مؤسسة تقريباً من حيث الأسلوب والشكل والحجم. 
فبعض الشركات تنشر وثائق مفصلة إلى حد ماء في حين أن البعض الآخر يحتوي على 
الأساسيات فقط. ومن المؤكد أن مدونات السلوك المهني بطبيعتها ليست أسرارا تجارية 
للشركة. وتسفر الدعوات الموجهة إلى مكتب الاستعلامات أو العلاقات العامة بالشركة عن 
القيام بتجميع نسخ من عينات مدونة قواعد السلوك المهني لديهم. 
إن الشركات العاطمية لديها مشكلة أخرى عند قيامها بوضع مدونة لقواعد السلوك. فعلى 
الرغم من أن الشركة قد يكون مقرها في الولايات المتحدة: فإن عملياتها التشغيلية الرئيسية 
قد تكون منتشرة في جميع أنحاء العام في مكان وجود المديرين الرئيسيين والموظفين 
وأصحاب المصلحة الآخرين من الذين لا يستخدمون اللغة الإنجليزية لغة أساسية لهم. 
وعلى الرغم من أن التكاليف الإضافية تتمثل في الترجمة: فإنه لابد من التفكير في إنتاج 
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نسخ من مدونة قواعد السلوك على الأقل باللغات الرئيسية المستخدمة في عمليات الشركة. 
وإذا كان هناك العديد من الواقع ولكن بها أعداد قليلة من أصحاب المصالح الناطقين 
بلغة أجنبية» فإنه سيكون من المناسب وضع ملخص لمدونة قواعد السلوك الأساسية بكل 
لغة من اللغات المحلية. ومع ذلك» ينبغي أن تؤكد تلك الإصدارات المختصرة التوجيهات 
نفسها للاحتيال الالي الخاص بالبنية الموجهة نحو الخدمة (504) الواردة في مدونة قواعد 
السلوك الأساسية. 


تبليغ أصحاب المصلحة بمدونة قواعد السلوك لضمان الامتثال بها: 

يجب أن تكون مدونة قواعد السلوك للمؤسسة عبارة عن وثيقة حية. وستكون قيمتها 
قليلة إذا ما تم وضعها وتوصيلها إلى جميع أصحاب المصلحة بكثير من الضجة» ثم بعد 
ذلك تحفظ فى مكان بعيد وتنسى. سواء بالنسبة لمدونة جديدة لقواعد السلوك أو لمدونة 
موجودة تم تنقيحها بإضافة مزيد من التعديلات عليهاء فإنه يجب على المؤسسة بذل المزيد 
من الجهد لتوصيل نسخة من هذه المدونة لجميع العاملين وأصحاب المصلحة. وتعد هذه 
خطوة أولى جيدة سيكون من شأنها تقديم تلك النسخة الجديدة أو المنقحة من مدونة 
قواعد السلوك بشكل رسمي لكبار المسؤولين التنفيذيين في ا مؤسسةء وخصوصا المسؤولين 
الماليين. كانت مدونات القواعد السلوكية في الماضي تلقى أحياناً قبولاً رمزياً فقط من 
مجموعة المسؤولين الكبارء مع شعورهم بأن تلك المدونات قد صممت في الواقع للموظفين 
وليست لهم. إلا أن الفضائح المالية التي تم الإبلاغ عنها والتي أدت إلى سن قانون :50 
في السنوات الأولى من هذا القرن قد أبرزت في الواقع هذا التناقض. فكل من شركة إنرون 
En‏ وشركة ورلد كوم ۷014٥0‏ ' وهما الشركتان اللتان يتم الاستشهاد بهما كثيرا 
ك "أفراد السوء" في عصر ما قبل سن قانون <:50.: قد كانت لديهم مدونات كافية لقواعد 
السلوك. ومع ذلك» فإن مسئولي الشركات لديهم بدوا كأنهم شعروا بأن تلك القواعد لا 
يمكن أن تطبق عليهم. 

ويمكن اعتبار المدير المالی السابق لشركة إنرون (82102): أندرو فاستو (417101610 
09 , واحدا من الأمثلة المثيرة للقلق على عدم قبول كبار المسؤولين في الشركة يلدونة 
القواعد السلوكية. ولأنه كان على علم بأنه سيخالف مدونة قواعد السلوك بالشركة باتباعه 
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بعض المخططات المحاسبية المشكوك فيها غير المدرجة ف الميزانية العمومية, فقد لجأ إلى 
لجنة التدقيق الخاصة بشركة إنرون وطلب منهم التصويت رسميا على إعفائه من مدونة 
قواعد السلوك! وقد قامت اللجنة منحه هذا الإعفاء. وكانت خطوة أخرى على طريق 
الفشل الذي سارت فيه شركة أنرون ووصلت إليه في نهاية المطاف. 

يجب على كبار مديري المؤسسة أن يُقروا رسميا بأنهم قاموا بقراءة وفهم مدونة قواعد 
السلوك وبأنهم سيلتزمون بها. وبمساعدة الفريق الإداري الذي يقف خلف تلك المدونةء 
فإنه ينبغي على المؤسسة أن تقوم لاحقا بتعميم مدونة قواعد السلوك وإيصالها إلى جميع 
أصحاب المصلحة في المؤسسة. وقد يتم ذلك على عدة مراحل» وذلك عن طريق إيصالها 
أولا إلى المرافق المحلية أو الرئيسية: تليها الوحدات الأصغر, والمواقع الأجنبية» وغيرهم من 
أصحاب المصلحة. وبدلا من أن تحتفظ المؤسسة بنسخة من مدونة القواعد السلوكية مع 
مستندات المرتبات» فإنه يجب عليها بذل الجهود لكي تعرض تلك المدونة بطريقة تجذب 
الأنظار نحوها. 


يمكن إيصال المدونة الجديدة ونشرها من خلال وسائل مثل المؤتمرات الإلكترونية 
(131طا180/6) التى يقودها الرئيس التنفيذي أو الجلسات التدريبية أو وسائل أخرى لتوصيل 
أهميتها ومعناها. هذا بالإضافة إلى أساليب الاتصالات الخاصة التي يمكن استخدامها 
لإيصال المدونة لجماعات أخرى كالباعة أو المقاولينء ولكن ينبغي أن يكون هدف الشركة 
هو الحصول على اعتراف رسمي من كل أصحاب المصلحة بأنهم سوف يلتزمون بمدونة قواعد 
السلوك الخاصة با مؤسسة. ويمكن تحقيق هذا عن طريق أحد نظم الإنترنت أو النظم 
الهاتفية حيث يطلب من كل أصحاب المصلحة ف المؤسسة الرد على هذه الأسئلة الثلاثة: 
-١‏ هل تلقيت وقرأت نسخة من مدونة قواعد السلوك؟ أجب بنعم أو لا. 
"- هل فهمت مضمون مدونة قواعد السلوك؟ الإجابة بنعم إذا فهمت هذه المدونة 
لقواعد السلوك أو الإجابة بلا إذا كان لديك أسئلة. 
"'- هل توافق على الالتزام بالسياسات والطبادئ التوجيهية الموجودة في هذه المدونة لقواعد 
السلوك؟ الإجابة نعم إذا كنت توافق على الالتزام ها جاء في اممدونةء والإجابة بلا إذا 
كنت لا توافق. 
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إن الفكرة بأكملها هي أن يُطلب من كل فرد سواء كان موظفاً أم صاحب مصلحة أن 
يقر بقبول مدونة قواعد السلوك الخاصة با مؤسسة. يجب أن تسجل تلك الردود باستخدام 
إحدى أشكال قواعد البيانات الحاسوبية بحيث يُدرج فيها اسم الموظف وتاريخ مراجعته 
والقبول أو عدم القبول. يمكن التعامل مع أي قضية من القضايا الناشئة عن السؤال الثاني 
من خلال برنامج ال مبلغين عن ال مخالفات الذي سيتم وصفه لاحقا. والفكرة هي أنه يتعين 
على الجميع - كل أصحاب المصلحة - أن يسهموا في مبدأ مدونة قواعد السلوك والموافقة 
على شروطها. وإذا رفض أحد الأشخاص قبول المدونة لأسباب محددة: فإنه يتعين على 
المشرفين أو غيرهم مناقشة هذه المسألة مع هذا الشخص للوصول في نهاية المطاف إلى 
اتفاق. إن الموقف النهائي هنا هو أن المؤسسة يجب أن تتوقع أن كل الموظفين متفقون 
على قبول مدونة قواعد السلوك للمؤسسة والالتزام بها. إن اتباع مدونة قواعد السلوك ما 
هو إلا واحد من قوانين العملء وأن الامتناع أو التخلف المستمر عن الالتزام بهذه القواعد 
ينبغي أن يكون سبباً للإيقاف عن العمل وإنهائه. 

إن الفكرة بأكملها والتي تكمن وراء شرط الحصول على الاعتراف بهذه المدونة هي 
تجنب أي عقو م من نوع "لم أكن أعرف أن ذلك كان قاعدة" وذلك عتذما اه 
بأن هناك انتهاك للمدونة. إنها لفكرة جيدة أن يتم تطبيق هذه العملية الخاصة بقبول 
المدونة بصفة سنوية أو على الأقل بعد أي تنقيح لوثيقة المدونة. كما ينبغي الاحتفاظ 
ملفات توثيق هذه الإقرارات بالمدونة بطريقة آمنة. 


انتهاكات المدونة والإجراءات التصحيحية: 

تلخص المدونة السلوكية مجموعة من القواعد للسلوكيات المتوقعة ف المؤسسة:؛ والتى 
تكون على شكل إرشادات وتوجيهات موجهة لجميع أصحاب المصلحة - المسؤولين الماليين 
وغيرهم كال موظفين في جميع المستويات والمقاولين والبائعين. فبالإضافة إلى عملية نشر 
مدونة قواعد السلوك الخاصة بالمؤسسة والحصول على قبول أصحاب المصلحة بالمدونة» 
فإن هناك حاجة إلى وجود آلية للإبلاغ عن انتهاكات المدونة للتحقيق والتعامل مع تلك 
الانتهاكات. 
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إن القدق امنود هو أنه إذا كانت اللؤسسة تصدر مدونة قوية لقواعد السلوك إل 
جانب رسالة الرئيس التنفيذي عن أهمية الممارسات الأخلاقية الحميدة, فإنه من المتوقع أن 
يقوم جميع أصحاب المصلحة باتباع هذه القواعد. ومع ذلك فإننا جميعا نعلم أن البشر 
هم البشرء وسيكون هناك دائاً بعض الذين ينتهكون القواعد أو يحومون حول انتهاكها. 
لذلك تحتاج المؤسسة إلى إنشاء آلية تسمح لموظفي الشركة أو حتى من خارج الشركة 
(الغرباء) بالإبلاغ عن الانتهاكات المحتملة للمدونة بطريقة آمنة وسرية. يمكن التعامل مع 
الكثير من آليات الإبلاغ من خلال الخط الساخن للأخلاقيات أو المبلغين عن المخالفات كما 
سيتم مناقشته في القسم التالي. هناك انتهاكات أخرى محتملة يجب معالجتها على مستوى 
مختلف. فلنفترض أن هناك أحد المشرفين الرجال يُلمّح بأن تقديم خدمات غير شرعية من 
قبل إحدى الموظفات سيكون وسيلة جيدة للتقدم في المؤسسة. فإن مدونة قواعد السلوك 
فيما يخص حظر التحرش الجنسي لن تقوم بالضرورة بإيقاف هذا المشرف. كما أن الموظفة 
لن تستطيع في كثير من الأحيان إبلاغ المدير المباشر لهذا المثرف عن هذا الانتهاك. لذا 
ينبغي وضع عملية لرفع بلاغات بجميع أنواع الانتهاكات الأخلاقية. 

لا بد من دعم مدونة قواعد السلوك في المؤسسة بالإجراءات والردود المخطط لها 
والموثقة عن الانتهاكات. فعندما يتم الإبلاغ أو العثور على مخالفات أو انتهاكات كبيرة 
للمدونة» فلا بد من إجراء التحقيقات, واتخاذ الإجراءات المناسبة: بغض النظر عن مرتبة 
ومكانة أصحاب المصلحة في المؤسسة المسؤولين عن تلك الانتهاكات. فإذا كانت مدونة 
قواعد السلوك تمنع عملية نسخ البرمجيات - وهو ما يجب أن يكون - فإن العقوبات 
الموقعة على أحد العاملين في الطاقم التحليلي لإحدى مكاتب المبيعات البعيدة يجب أن 
تكون هي العقوبات نفسها التي تقع على أحد كبار المسؤولين العاملين في مجلس إدارة 
الشركة. في حال كان الاثنان قد قرآا الحظر ووافقا عليه. فإنه يجب أن تكون العقوبات 
الواقعة عليهما متمائلة. خلاف ذلك. قد يؤدي إلى خلق جو دة فية أن هذه القواعد لا 
تطبق على الجميع بالوتيرة نفسها. 

يمكن التعامل مع معظم الانتهاكات لمدونة قواعد سلوك من خلال الإجراءات العادية 
للموارد البشرية في المؤسسة والتي ربما تلجأ إلى عملية تقديم النصيحة أو البقاء تحت 
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المراقبة بالنسبة للانتهاك الأول للمدونةء والتي قد تؤدي إلى إنهاء الخدمة في حال تكرارها. 
كما يجب إبلاغ السلطات الخارجية عن الانتهاكات التي تتعلق بأمور يبدو كأنها دعاوى 
مدنية أو جرائم محتملة: ليخرج الأمر بذلك عن سلطة المؤسسة. إن الهدف العام هو أنه 
يجب أن يكون لدى المؤسسة عملية معمول بها لتشجيع جميع أصحاب المصلحة على اتباع 
الممارسات الأخلاقية الحميدةء كما هو محدد في مدونة قواعد السلوك» كما يجب توفير آلية 
ملائمة للتبليغ عن الانتهاكات واتخاذ الإجراءات والتدابير النظامية المناسبة إذا تطلب الأمر. 


الحفاظ على سربان المدونة: 

نوخد الخد من القواعن الأنامية للم تكات الأكلافة الحيدة وخا اة ي 
تتغير من سنة إلى أخرى. فالقاعدة الموضحة في المثال في (الشكل التوضيحي )١-٠١‏ عن 
حماية أصول الشركة: التي تم الاستشهاد بها قبل قليلء قد نصت على أن جميع أصحاب 
المصلحة يتحملون مسؤولية العناية والاهتمام بأصول المؤسسة التابعين لهاء سواء كانت 
ممتلكات أم نقدية أو موارد حاسوبية أو غيرها. وهذا النوع من القواعد الأخلاقية لا يتغير 
مع مرور الوقت» في حين قد يتعرض غيرها من القواعد إلى التغيير نتيجة ظروف العمل 
وعوامل أخرى. وقد قام مؤلف هذا الكتاب بتولي إدارة التدقيق الداخلي لإحدى الشركات 
الكبيرة للبيع بالتجزئة - سنطلق عليها اسم الشركة أ - التي كانت تمتلك في الأساس مدونة 
لقواعد السلوك تمنع الموظفين من العمل لدى الجهات المنافسة. وقد كان ذلك مناسبا 
عندما كان يعمل بائع في أحد مراكز التسوق لصالح الشركة (أ) بدوام كامل. وفي عصرنا 
الحالي الذي يتميز بأن هناك الكثير من العمل يكون بدوام جزثي» فإنه من غير المناسب أن 
أقول لبائع يعمل في أحد مراكز التسوق بدوام جز إنه أو إنها لن تتمكن من العمل بدوام 
جزئي لمتجر تجزئة آخرء ولنطلق عليها اسم الشركة (ب)ء موجودة في مركز التسوق نفسه. 
لذا فقد تم هنا تغيير مدونة قواعد السلوك لتنص على أنه يجب أن يكون ولاء الموظف 
للشركة (أ) وليس للشركة (ب) فقط أثناء عمله في الشركة (أ). 


يتعين على المؤسسات أن تقوم وبشكل دوري بمراجعة مدوناتها المنشورة للقواعد 
السلوكيةء وأن يكون ذلك كل سنتين على الأقل للتأكد من أن الإرشادات لا تزال قابلة 
للتطبيق وسارية. إن التغييرات التي تتم على مدونة قواعد السلوك ينبغي ألا تعامل 
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باستخفاف. فإن آي تنقيح ينبغي أن مر من خلال عملية الإعلان والتعميم ذه نفسها التي 
تم استخدامها عند تقديم المدونات للمرة الأولى. ينبعي إيصال المدونه المنقحة لجميع 
أصحاب المصلحة إلى جانب شرح التغييرات مع المطالبة بقبول إعادة الإقرارء كما أسلفنا. 


إن الموظفين الجدد وغيرهم من أصحاب المصلحة ال ملتحقين با مؤسسة»ء يجب أن تعرض 
عليهم مدونة قواعد السلوك الحاليةء بالشرط نفسه وهو أن يقرؤوا ويقروا ا جاء بالوثيقة. 
ويكن مشاهدة الفيديو ابلنشور غلى الإنترنت لشرح وتعليم الموظفين الجدد كل ما يتعلق 
بممدونة قواعد السلوك والتزام المؤسسة بها. وسواء تم تعديل المدونة آم لاء فإنه ينبغي أيضا 
أن يُطلب من جميع أصحاب ال مصلحة»ء بصفة دورية: أن يقروا من جديد بأنهم قد قرؤوا 
وسيواصلون الالتزام با مدونة. ۰ 

إن التعديل الجديد طمدونة قواعد السلوك والمطالبة بإعادة إقرار أصحاب المصلحة هكن 
أن تكون مهمة مكلفة وتتطلب موارد مخصصة من المؤسسة من إدارة الأخلاقيات والموارد 
البشرية والتدقيق الداخلي» وغيرها. .وتمشيا مع بيان المهمة أو الرسالة: فإنه يجب على 
المؤسسة أن تبْقي مدونة قواعد السلوك والمبادئ الداعمة لها أمام جميع أصحاب اللصلحة 
في جميع الأوقات. وممكن تحقيق ذلك من خلال إشارات مستمرة ة لمدونة قواعد السلوك 
مثل ملصقات لوحة الإعلانات في جميع المرافق أو أسئلة وأجوبة توجيهية في مطبوعات أو 
عروض تقدهية في دورات تدريبية للموظفين. 


المىلغون عن المخالفات وادارات الخط الساخن: 

تعد عملية الإبلاغ عن المخالفات من العناصر الهامة في حوكمة الشركات. والمبلغ عن 
الخالفات هو الشخص الذي يغبن الرأي العام أو فخصاً ما فى السلطة عن أنشطة مرعومة 
غير شريفة أو غير قانونية تحدث في إحدى الدوائر الحكومية أو مؤسسة خاصة أو به 
قد يكون سوء السلوك المقصود هنا عبارة عن انتهاك لأحد القوانين أو القواعد أو اللوائح 
تهديدا مباشرا ا للمصلحة العامةء مثل الاحتيال أو الانتهاكات المتعلقة بالصحة ار 
الفساد. قد يدل المبلغون عن المخالفات بدعاويهم د اخليا لجهات التحقيق داخل ال موّسسة؛ 
أو خارجياً لجهات رقابية أو جهات إنفاذ القانون آو لوسائل الإعلام أو ا مجموعاث المحتة 
بهذه القضايا. 


دليل المستئول التنفيذي لحوكمة تقنية ا معلومات 1۹ 


الفصل العشرون 


لقد كانت برامج ال مبلغين عن ال مخالفات لعدة سنوات تدور حول دعم قوانين التعاقد 
الاتحادية ولوائح الصحة والسلامةء وغيرها. كما هو مبين في الفصل الثاني من هذا الكتابء 
فإن قانون ×50 يقضي بأن تقوم لجان التدقيق للمؤسسة بوضع إجراءات من أجل "التعامل 
مع معلومات المبلغ عن المخالفات فيما يتعلق بمسائل المحاسبة أو التدقيق المشكوك فيها." 
وعندما تم تفعيل قانون ×50 للمرة الأولى» كان هناك الكثير من التكهنات بأن هذا البند 
الخاص بالمبلغ عن المخالفات في قانون :50 سيصبح ممثابة كابوس» متمثلا في إقامة الدعاوى 
الجنائية على العديد من الشركات الأمريكية. من خلال تقدم العديد من الموظفين بطلبات 
للابلاغ عن المخالفات. إلا أن هذا الأمر لم يحدث حتى الآن» وحتى وقت نشر هذا الكتاب 
كان هناك عدد قليل من الشكاوى ال مسجلة مبلغين عن مخالفات فيما يتعلق بقانون 
×50 قد تم رفعهاء إلى جانب عدد أقل من إجراءات تسوية عادلة. وقد ثبت أن العملية 
القانونية وسيلة صعبة لحل القضايا وتسويتها. 


ومع ذلك» فإن المؤسسة بحاجة إلى معرفة دعاوى ال مبلغين عن المخالفات والتعامل معها 
باعتبارها عنصا هاما من عتا وة الشركات. كما يجب على الؤسسة: إبعاة إذارة 
داخلية للدعم بحيث يمكن لأي أحد من أصحاب المصلحة أن يبلغ دون الإعلان عن هويته 
عن أي مخاوف يشتبه بهاء كما يمكن أن يتوقع الإجراءات العلاجية المناسبة. وبناء على 
خبرتنا في إنشاء مثل هذه الإدارات لإحدى الشركات الأمريكية الكبرىء» فإننا نطلق على هذا 
النوع من المرافق اسم الخط الساخن للأخلاقيات. 

ينبغي أن تكون إدارة الخط الساخن للأخلاقيات في المؤسسة عبارة عن مرفق يعمل أربعا 
وعشرين ساعة في اليوم سبعة أيام في الأسبوع ۷/۲٤‏ بحيث يتمكن أي من موظفي الشركة 
وأصحاب المصالح من الذين يلاحظون أي شكل من أشكال المخالفات من التبليغ عنها 
بشكل سري ودون الخوف من عمليات انتقامية منه. وقد يتم رفع هذا الأمر إلى المنظمة 
أو إلى السلطات التنظيمية. يجب ألا يكون هناك أي عمليات انتقامية ضد ال موظف أو 
المبادرة باتخاذ إجراءات قانونية لاستعادة التعويضات. حيث ممكن لهذه الدعاوى الخاصة 
بالمبلغ عن المخالفات إلحاق أضرار جسيمة بسمعة المؤسسة وكذلك على وظائف المديرين 
المتهمين. وفي الوقت الذي تطلب فيه قواعد قانون ×50 من لجنة التدقيق أن تقوم بإنشاء 
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مرفق خاص للتبليغ عن المخالفات: فإن الإدارات الأخرى في المؤسسة كإدارة الموارد البشرية 
والتدقيق الداخلي وأخلاقيات العمل في الواقع تكون بحاجة إلى إعادة الأمور إلى نصابها 

يضع برنامج التبليغ عن المخالفات الذي أقرة قانون ×50 تحديا أمام أعضاء لجنة 
التدقيق. فالعضو العادي للجنة التدقيق التابع لمجلس الإدارة قد يكون مطلعا على 
الاحتياجات الخاصة للبرنامج الفعال للمبلغ عن المخالفات» ولكن من شبه المؤكد أنه لن 
يون مطلعا على العمليات اللازمة لإنشاء أحد هذه البرامج. وهكن للجموعات التدقيق 
الداخلي أو الموارد البشرية في معظم الأحيان أن تساعد لجنة التدقيق في وضع برنامج فعال 
للمبلغ عن المخالفات الذي يتوافق مع متطلبات قانون ×50. إن البرامج الفعالة الخاصة 
بالإبلاغ عن المخالفات تعد واحدة من تلك المفاهيم التي قد يكون سمع بها الكثير من 
المديرين التنفيذيين» ولكن استيعابهم لها قد لا يكون بالشكل الكافي. وتوفر الأقسام التالية 
ميدأ من ابلعلومات عن هذه البرامح. 
القوانين الاتحادية الخاصة بالمبلغين عن المخالفات: 

إن القوانين الاتحادية الخاصة بال مبلغين عن المخالفات بوزارة العمل الأمريكية 
Department 01 Labor (DOL)‏ .1.5 تدير وتفرض ما يزيد عن ۲۰۰ قانون من 
القوانين الاتحادية التي تغطي العديد من أنشطة الأعمال لنحو ٠١‏ ملايين من أرباب 
العمل و١٠٠٠‏ مليون عامل. تقتضي معظم قوانين العمل والسلامة العامة والعديد 
من القوانين البيئيه حمايه المبلغين عن ال مخالفات بالنسبه للموظفين الذين يبلغون 
عن انتهاكات القانون من قبل أرباب عملهم. وتطبق قواعد قانون ×50 الخاصة 
بالمبلغين عن المخالفات على جميع العاملين في المنظمات المسجلة في هيئة الأوراق 
المالية والبورصة الأمريكية: ويتعين على الشركات العامة أن تُوْلٍ اهثماماً خاصا بحماية 
المبلغين عن ال مخالفات في الشركات التابعين لها. ويقتضي قانون ×50 حماية ال مبلغين 
عن المخالفات من أصحاب المصلحة في الشركات المطروحة للتداول: مما لا يسمح لأي 
شركة عامة أو أي مسئول أو موظف أو مقاول أو وكيل في مثل هذه الشركات "أن يُقال 
أو تخفض مرتبته أو يدد أو يتم إيقافه أو مضايقته» أو أي طريقة أخرى تنطوي على 


دليل المسئول التنفيذي لحوكمة تقنية ا لعلومات 111 


الفصل العشرون 


تمييز ضد الموظف في شروط وأحكام العمل نتيجة آي عمل قانوني قام به الموظف". 
تطبق تلك القوانين التشريعية عندما يقوم أحد الموظفين بتقديم معلومات أو يساعد 
في التحقيقات التي تجريها الوكالة الفدرالية التنظيمية أو وكالات إنفاذ القانون أو 
الكونجرس أو موظفي الشركة عن أي سلوك قد "يعتقد الموظف بشكل معقول" 
أنه يشكل انتهاكا لقوانين ولوائح هيئة الأوراق المالية والبورصة الأمريكية أو قوانين 
الاحتيال أو الملفات أو الإدلاء بالشهادة أو المشاركة فيها أو غير ذلك مما يساعد في 
الدعاوى - المعلقة أو على وشك أن تحفظ - التي تتعلق بأي انتهاك مزعوم. وبعبارة 
أخرىء فإن الموظف أو أصحاب المصلحة الذين يرصدون بعض المخالفات المالية وبعد 
ذلك يقومون بالإبلاغ عنهاء تتم حمايتهم قانونيا أثناء التحقيق في هذا الأمر والبت 
فيه. 

في معظم الحالات» نجد أن الأحكام الخاصة بالمبلغ عن المخالفات قد وضعت في المقام 
الأول لحماية الموظفين الذين يظنون بأنهم قد اكتشفوا بعض المخالفات وليس لزيادة 
الضوابط الداخلية للمنظمة. من الممكن أن تخضع جميع الإتمرادات دة هن قبل 
شؤون الموظفين بحق الأشخاص المبلغين عن المخالفات مثل تخفيض المرتبة أو الإيقاف. 
لعقوبات قانونية موجب هذا القانون. وعلى الرغم من عدم وجود العديد من التجارب 
المتعلقة بالمبلغ عن المخالفات المتعلقة بقانون ×50 في الوقت الراهنء فإنه من المتوقع أن 
يقوم كل من هيئة الأوراق المالية والبورصة ووزارة العمل» وهما من الوكالات الفيدرالية 
على نطاق واسع. بحماية الموظفين المبلغين عن مخالفات المحاسبة والتدقيق. ويشير ذلك 
إلى أن الموظف أو صاحب المصلحة الذي يسجل شكوى للإبلاغ عن المخالفات سوف يكون 
ينا حتى يتم حل هذه المسألة. 

موجب قانون «50: تعد جريمة أن يقوم شخص "عن علم وبقصد الانتقام" بالتدخل 
في عمل أو كسب الرزق لأي شخص - المبلغ عن المخالفات - يزود مسئول إنفاذ القانون 
بأي معلومات صادقة تتعلق بارتكاب جريمة محتملة لانتهاك قانون ×50. فأي موظف 
يبلغ عن مخالفة ويواجه بسبب ذلك ممارسات سلبية في العمل فإنه من المحتمل أن يصبح 
مثابة "شاهد إثبات محمي". 
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يقتضي قانون ×50 أن تقوم لجان التدقيق بإنشاء عملية لتلقي ومعالجة الشكاوى 
الواردة بخصوص المحاسبة وضوابطها الداخلية أو أي أمور تخص عمليات التدقيق ومن 
أجل "رفع الموظفين لتلك الشكاوي بشكل سري وغير معلوم الهوية" فيما يتعلق بمسائل 
المحاسبة أو التدقيق المشكوك فيها. إن أصحاب المصلحة الذين يدركون أنهم لن يتعرضوا 
للفصل أو التمييز غير القانوني نظرا لعملهم بصفة مبلغين عن ال مخالفات» سيسعون إلى مد 
يد العون عن طريق تقديم الشكاوى إلى وزارة العمل أو البدء بإجراءات المحاكم الفيدرالية. 
أما الذي سيتضرر فإنه سيحتاج عادة إلى الحصول على المساعدة القانونية الآمنة للسعي إلى 
تقديم المساعدة. وقد تتطلب هذه العملية المزيد من الوقت والتكلفة بالنسبة لكل من 
المبلغ عن المخالفات والشركة التي اتهمت بالمخالفة. فعلى سبيل المثال» ولضمان التغلب 
على الشكوى المقدمة. يجب على الموظف قبل الذهاب إلى وزارة العمل أن يثبت بأن 
المبررات التميزية كانت عاملا أسهم في حدوث هذا الإجراء الوظيفي الظامم في شأنه. ومع 
ذلك؛ فإنه يتم رفض موضوع الشكوىء إذا ما أثبت صاحب العمل "بالأدلة القاطعة" أنه كان 
سيتخذ الإجراء الوظيفي نفسه حتى في ظل غياب هذا النشاط ال محمي. 

ويحق للموظف صاحب الحق ف مثل هذا الإجراء المطالبة بالتعويضات الكاملة, 
متضمنا ذلك إعادته إلى منصبه وإعادة الأجر مع الفائدة والتعويض عن تكاليف التقاضي 
وأتعاب المحاماة. ومما يزيد الأمور تعقيداء أنه هكن للمبلغ عن المخالفات المتضرر أن يقوء 
باتخاذ إجراءات على عدة جبهات» فقد يسعى لطلب الحماية موجب القوانين الاتحادية 
(الفيدرالية) وقوانين الولايةء وكذلك بموجب أي ميثاق تفاوض جماعي في هذا الشأن. 
ويتعرض أرباب العمل لخطر مزدوج بسبب إجراءات المبلغ عن ال مخالفات» من خلال 
المسؤولية التي تفرضها أحكام قانون ×50 وكذلك القوانين الاتحادية وقوانين الولاية بشأن 
الفصل غير المشروع وأسباب مماثلة للإجراء. أضف إلى ذلك آنه» هكن للمبلغ عن المخالفات 
المتضرر السعي للحصول على تعويضات تأديبية من خلال إجراءات قضائية منفصلة. 

إذا حكمنا من خلال الخبرات الإدارية والقضائية السابقة في مجال صناعات الطاقة 
النووية وشركات الطيرانء فإن قوانين حماية المبلغ عن المخالفات هكن أن تصبح حقول 
ألغام للشركات. فإذا كان الموظف يثير أي نوع من أنواع التأكيدات التي تثبت أعمالا غير 
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قانونية فى الأغور المحاسبية والتدقيقية: فإن المبلغ عن المخالفات يكون محميا اما حى 
يتم التحقيق في المسألة والحكم فيها. وسيكون هناك العديد من ال محامين المستعدين 
والخريصين عان مساغدة اللبلغ عن اللقالقات ورقع النهاوق: ولاسيما هد الشركات التكبرق 
ذاق النكانات اة القرة: «وبالإضاقة إل ذلك قان مسموعة وة من وزارة العمل 
وا محاكم السابقين حاضرون في هذا المجال لدعم العقوبات التنظيمية والعلاجات الشخصية. 


ومن منظور خبرة امقدت لأكثر من ۲١‏ غاما في مجال أنشظة اللبلغ عن اللخالفات 
التابعة لقانون ×50 في الولايات المتحدة: ينبغي أن تسعى المنظمة ال معنية إلى تحقيق 
توازن بين حقوق الموظفين في رفع مخاوف مبلغي المخالفات والقدرة على إدارة القوى 
العاملة. إن بيئة العمل الإيجابية تحتاج إلى أن يشعر الموظفون بالحرية في رفع مخاوفهم 
إلى الإدارة وإلى آليات فعالة للتعامل مع آية مخاوف يتم إثارتها. إن البرامج القوية المتعلقة 
بالأخلاقيات التي تمت مناقشتها في الأجزاء الأولى من هذا الفصل تعد مهمة لإيجاد بيئة 
نأمل بأن تحد من النشاطات التي تستدعي الإبلاغ عن المخالفات. 


قواعد الإبلاغ عن المخالفات وضوابط المؤسسة: 

باستخدام قواعد قانون ×80 مثالا على ذلك ممكن لأي موظف أو أي شخص آخر 
من أصحاب المصالح أن يصبح من المبلغين عن المخالفات: وذلك بالإبلاغ عن أي نشاط 
غير قانوني أو غير لائق في مجال المحاسبة والرقابة الداخلية والتدقيق. وينبغي أن تكون 
هذه العملية أكثر فاعلية عندما يكون المبلغ المحتمل عن المخالفات هو أحد أعضاء طاقم 
المحاسبة للشركة الذي يسمع عن خطط لبعض المعاملات الاحتيالية أو موظف يعمل في 
وحدة نائية لا يرتادها موظفو الشركة باستمرارء كوحدة التدقيق الداخلي. فقد صممت 
قواعد الإبلاغ عن المخالفات لتشجيع أصحاب المصلحة للإبلاغ عن هذه الأفعال الاحتيالية 
أو غير المشروعة وتحمي إلى حد كبير الشخص الذي يبلغ عن تلك الأمور. وهذا يثير سلسلة 
من القضايا بشأن المدققين الداخليين ومراجعات التدقيق الداخلي خصوصا. 

إن الهدف من عملية التدقيق الداخلي التي تمت مناقشتها في الفصل التاسع عشر من 
هذا الكتاب» هو مراجعة واكتشاف مشاكل الرقابة الداخلية وقضايا التدقيق الداخلي. 
حيث يتم مراجعة نتائج التدقيق الداخلي مع الإدارة وتقدم في شكل تقرير رسمي حيث 
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مكن للإدارة وضع الخطوط العريضة لخططها الرامية لاتخاذ إجراءات تصحيحية. من 
ناحية أخرىء ماذا لو اكتشف فريق التدقيق الداخلي أن هناك مسألة من المسائل المتعلقة 
بالأمور المحاسبية أو الرقابة الداخلية أو التدقيق م تَبّلخ بها الإدارة رسميا في تقرير التدقيق؟ 
هل يستطيع أحد أعضاء فريق التدقيق الإبلاغ عن هذه المسألة موجب الإجراءات الخاصة 
بالإبلاغ عن المخالفات؟ هل يمكن للمدقق الداخلي الذي يصادف مسألة تخص المحاسبة 
والرقاية الداغلية وأتها ليست حزءا من عملية العيفق اللعدولة: أن سالك مان حمانة 
المبلغ عن المخالفات للإبلاغ عن تلك المسألة؟ ماذا لو كان عضو من أعضاء فريق التدقيق 
الداخلي لا يؤدي أداء جيدا ويخشى إنهاء الخدمة؟ وهل هكن لهذا المدقق بوضعه المهتز 
أن ينبش في بعض النتائج المحتملة التي رها تكون معتمدة على أوراق عمل سابقةء ويقدم 
تقريرا بها إلى جهة خارج إدارة التدقيق ليحصل على الحماية الخاصة بالمبلغ عن المخالفات 
والأمن الوظيفي حتى يتم تسوية المسألة؟ 

من الواضح أن فريق التدقيق الداخلي يعد جزءا من الإدارةء فا مدققون الداخليون 
يتحملون المسؤولية الأولى في الإبلاغ عن أي مسائل غير نزيهة أو غير قانونية تواجههم 
خلال عمليات التدقيق إلى إدارة التدقيق الداخلي للبت فيها. لا ينبغي لأعضاء فريق 
التدقيق الداخلي أن يحاولوا العمل بشكل مستقل بصفة مبلغين عن المخالفات في جزء من 
عمل التدقيق الداخلي. بل يجب على التدقيق الداخلي أن يضع سياسة واضحة تنص على 
أن أي أمور تخص المحاسبة أو الرقابة الداخلية أو التدقيق وتتم مواجهتها خلال مراجعة 
التدقيق المجدولة. يجب أن يتم توثيقها في أوراق العمل الخاصة بالتدقيق وإرسالها إلى 
إدارة التدقيق الداخلي للبت فيها. يتعين على كل من فريق التدقيق الداخلي وإدارات 
الأقسام آو الوحدات التي يتم تدقيقها؛ آن يفهموا أن الغرض من التدقيق الداخلي هو 
عدم السماح لفريق مترصد من مبلغي المخالفات بتفقد دفاتر وسجلات الإدارة. وأن يتم 
التحقيق ف أي بند من البنود غير القانونية أو غير اللائقة والإبلاغ عنها من خلال العملية 
الطبيعية للتدقيق الداخلي. 

قد تظهر حالة يكتشف فيها مدققٌ داخلي إسقاط إحدى المسائل المحاسبية أو المتعلقة 
بالرقابة الداخلية من عملية التدقيق» وربما يحدث ذلك في عملية يقوم بها المدقق الأول 
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الفصل العشرون 


لمراجعة أوراق عمل. فالمدقق الداخلي هو أول من يتحمل مسئولية الحصول على قرار 
في هذا الشأن من إدارة التدقيق الداخلي حتى يصل الأمر إلى مدير التدقيق الداخلي أو 
لجنة التدقيق. وفي حال قيام المدقق الداخلي بتوثيق المسألة والتبليغ عنها بينما ترى 
إدارة التدقيق إسقاط أو تجاهل هذه المسألة: فإن المدقق الداخلي وبكل تأكيد يكون 
له بعد ذلك الحق وعليه المسئولية في أن يبلغ عن هذه المسألةء وهو مفعم بالأمل» من 
خلال إدارة الخط الساخن للأخلاقيات الخاصة بالمؤسسة أو حتى من خلال هيئة الأوراق 
المالية والبورصة. وينبغي أن تكون إدارة التدقيق والعمليات الأخرى المعمول بها في 
المكان المناسب ممنع مثل هذه الحالة المخبطة للمدقق الداخلي الذي يقوم بالإبلاغ عن 
ا ملخالفات. 1 


إطلاق إدارة الخط الساخن للأخلاقيات في المؤسسة: 

قامت العديد من المؤسسات اليوم بإنشاء إدارات الخط الساخن للأخلاقيات. ويحتوي 
معظمها على وسائل سرية لخط الهاتف تدار من خلال قسم الأخلاقيات أو الموارد البشرية 
أو مقدم خدمات مستقل. إن عمليات الهاتف المجاني هذه» التي تعمل عادة على أساس 
٤‏ تسمح لأي موظف أو صاحب مصلحة بالاتصال بشكل سري ودون ذكر الاسم وطرح 
سؤال أو الإبلاغ عن مصدر قلقء أو "يطلق الصافرة" على مسألة ما. تتمثل فكرة توفير مرفق 
مستقل في أن يتمكن جميع أصحاب المصلحة من طرح الأسئلة أو الإبلاغ عن المخالفات 
المحتملة على أي مستوى. هذه الإدارات ليست مطلوبة من الناحية القانونية: ولكنها 
وسائل تمكن الموظفين أو غيرهم من أصحاب المصلحة في أكبر المؤسسات من طرح الأسئلة 
أو الإبلاغ عن تصرفات خاطئة محتملة أو طلب المشورة. قد تكون القضايا المبلغ عنها 
عبارة عن ادعاءات تتعلق بسرقة ممتلكات الشركة أو شكاوى من الموارد البشرية: أو لمجرد 
الاستفسار عن القضايا المثيرة للقلق. في معظم الحالات» سيقوم عامل الهاتف بأخذ جميع 
المعلومات اللازمة. وطرح أسئلة عند الحاجةء ومن ثم يقوم بتمرير الحادثة المبلغ بشأنها 
إلى السلطة المختصة للتحقيق والبت فيها. ويقوم الموظف المختص في إدارة الخط الساخن 
عادة بتخصيص رقم محدد للمسألة المبلغ عنهاء ومن ثم فإن المتصل يستطيع أن يتحقق 
من الحكم في وقت لاحق. 
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بناء ثقافة أخلاقية في محل العمل والحفاظ عليها 


تم تأسيس الخطوط الساخنة للموظفين في العديد من المنظمات الكبيرة بداية من 
منتصف التسعينيات من القرن الماضي. يكون الموظفون المخضرمون ق الموارد البشرية 
في الغالب هم المشغلين المناسبين لتمتعهم بمهارات خاصة للرد عل المسائل المتعلقة 
بالموارد البشرية؛ كا معاملات والإجراءات الخاصة بأماكن العمل. أينما كانت أماكن ارتكاب 
المخالفات: فإنه يتم تحويل الحالة المسجلة إلى جهات أخرى كالإدارة القانونية مثلا للتحقيق 
فيها. في بعض الأحيان تجد أن هذه الخطوط الساغنة قد تحولت إلى ما هو أكثر قليلا 
من مجرد خطوط للتبليغ عن المخالفات. حيث استخدمت للتبليغ عن العديد من ال مشاكل 
والمخالفات الطفيفة إلا أنها كانت بشكل عام ناجحة جدا. 

وعلى الرغم من أنه تم تأسيس العديد من إدارات الخط الساخن للأخلاقيات 
والسلوكيات للرد على استفسارات الموظفين وتقديم بعض النصائح والإرشادات والتحقيق 
في الحوادث المبلغ عنها بشكل إرضائي مناسبء فإنه باستخدام المبدأ نفسه نجد أن المرفق 
المنشأ بالفعل لبرنامج المبلغين عن المخالفات الخاص بقانون ×50 يضع المزيد من الضوابط 
والمسؤوليات الجديدة على عاتق هذه الإدارة. وعلى الرغم من أن العديد من جوانب 
المساعدة الودية للخط الساخن للأخلاقيات يمكن أن تظل مطبقة: فإن القوانين الاتحادية 
للإبلاغ عن المخالفات تتطلب عمليات ذات طابع رسمي أكبر من ذلك بكثيرء ولا سيما في 
مجالات سكل السرية والوقائق المطلوية لكافة السجلات» واللعالجة القحالة لأى فحقيقات. 
وبالإضافة إلى ذلك» فإن الموظف الذي يتم استدعاؤه في ادعاءات تندرج تحت بند الإبلاغ 
عن المخالفات التابع لقانون ×50 يكون محميا قانونيا من أي اتهامات مضادة في المستقبل. 
في بعض الحالات. نجد أنه لا بد من حماية الموظف المبلغ عن المخالفات بحيث لا يمكن 
أن تكون هناك أية إجراءات من أي نوع موجهة إليه من قبل صاحب العمل حتى يتم 
البت في هذه المزاعم أو الادعاءات. ومع ذلكء: فمن أجل إنشاء مرفق خاص بالإبلاغ 
عن المخالفات ف المؤسسة: لا بد من تعزيز الإجراءات الرقابية في جميع مرافق الخطوط 
الساخنة للأخلاقيات والسلوكيات التي تم إنشاؤها لهذا الغرض. الشكل التوضيحي -۲١(‏ 
*) يحتوي على مبادئ توجيهية لإعداد برنامج للخط الساخن للأخلاقيات يخدم أيضا مرفق 
الإبلاغ عن المخالفات ف الشركة. 
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الفصل العشرون 


شكل توضيحي (١7-؟)‏ 
المبادئ التوجيهية لإعداد مركز اتصال للإبلاغ عن المخالفات 

٠‏ إنشاء خطوط هاتف مستقلة - يفضل أن تكون مجانية - بريد إلكتروني آمن للمرفق. يجب ألا 
تمر هذه الخطوط من خلال لوحات التوزيع الأخرى للشركة. : 

٠»‏ تدريب جميع العاملين في المرفق على الأحكام الأساسية للقواعد الاتحادية الخاصة بالإبلاغ عن 
المخالفات. وكذلك وضع النصوص بحيث يسهل على المتصلين طرح نفس الأسئلة العامة. 

ه الإعلان عن الطرفق والترويج له وتعزيزه في جميع أنحاء ا مؤسسة مع التأكيد على الإبلاغ عن كل 
الوقائع» وسوف يكون المتصل قادرا على التحقق من الحالة وسيتم التعامل مع جميع المتصلين دون 
السؤال عن هويتهم: كما لن يكون هناك اتهامات مضادة بسبب ما يقوم به المتصل. 

٠‏ تنفيذ نموذج تسجيل لتسجيل جميع ال مكالمات. الاحتفاظ بتاريخ ووقت المكاللة: واسم المتصل 


أو هويته. وتفاصيل البلاغ. 


٠‏ إنشاء عملية للتوجيه والتخلص بحيث يمكن تحديد حالة من لديه معلومات المكالمة وحالة أي 

٠‏ إنشاء قاعدة بيانات آمنة لجميع بيانات المبلغ عن المخالفات مع حماية مناسبة من خلال كلمة 
مرور. 

٠‏ العمل مع الموارد البشريةء ووضع إجراءات لحماية تامة من الاتهامات من أي نوع لأي مبلغ غير 
أن هذه الحماية تكون غير معلومة. 

٠‏ وضع عملية لتصفية كل المكالمات التي تخص البلغ عن المخالفات: وتوثيق جميع الإجراءات: 


إن وجدت. 





إن وجود مرفق خاص للخط الساخن والتبليغ عن اللخالفات الأخلاقية ستكون قيمته 
محدودة ما م يتم إيصاله و"بيعه" لجميع أعضاء المؤسسة. وهناك طريقة جيدة لإطلاق هذه 
العمليات من البداية وهي عن طريق مدونة قواعد السلوك التي نوقشت سابقا. حتى إن كان 
قد تم إطلاق هذا الخط الساخن بالفعلء يلزم إخطار الجميع بحقيقة أن هذا الخط يمكن أن 
يستخدمه أي شخص من مبلغي مخالفات محتملة تخص البنية الموجهة نحو الخدمة. ويجب 
أن يكون الهدف هو التحقيق في جميع المكالمات والحل الفوري لها - وخصوصا المكالمات 
الخاصة بالإبلاغ غن الللقالفات - 5اغليا لععتب اللحققن واللحامين الشارجيين. 
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بناء ثقافة أخلاقية في محل العمل والحفاظ عليها 


إطلاق برنامج أخلاقيات العمل وتحسين ممارسات الحوكمة المؤسسية: 

إن برنامج الأخلاقيات القويء. المستند إلى بيان مهمة ومدونة قواعد سلوكية ذات معنىء 
يعد عنصرا أساسيا لأي برنامج شامل لحوكمة المؤسسة. إن الفضائح المحاسبية التي أدت 
إلى ظهور قانون ×50 في السنوات الأولى من هذا القرنء كانت في أغلب الأحيان عبارة عن 
فضائح في المستويات العليا من المؤسسة؛ سواء كان ذلك بسبب تآمر أحد المسؤولين الماليين 
أو الرؤساء التنفيذيين الجشعين آم بسبب إحدى شركات المحاسبة التي لا تسمح بالاستفسار 
عن أي شيء. فقد قامت الفرق التنفيذية الموجودة في الشركات التي تعرضت لفضائح 

محاسبية بتأسيس قواعدها الخاصة مع إيلاء القليل من الاهتمام لباقي المؤسسة. 
إن برنامج الأخلاقيات القوي سوف يحسن من ممارسات حوكمة الشركات للمؤسسة 

بأكملها وليس فقط من ممارسات الأشخاص الموجودين في المكاتب التنفيذية. ينبغي النظر 

في الإجراءات الخمسة التالية على أنها جزء من إطلاق إستراتيجية فعالة للأخلاقيات والإبلاغ 

عن المخالفات للمؤسسة بأكملها: 

-١‏ سياسة الشركة: يجب أن يتم إصدار بيان سياسة المؤسسة من قبل الإدارة العليا لضمان 
تشجيع جميع أصحاب المصلحة؛ بأنه تفع على عاتقهم مسؤولية لفت انتباه الإدارة حول 
المخاوف المتعلقة بالممارسات المحاسبية والمالية. يجب على بيان السياسة أيضا أن يؤكد 
أن الإدارة لن تتسامح مع الانتقام من الموظفين الذين يبلغون عن المخالفات. يمكن 
للسياسة أن تساعد في تعزيز عملية "الباب المفتوح" معالجة القضاياء التىء في النهاية, 
هو النهج الأكثر فاعلية في الإدارة. 

۲- برنامج خاص بمخاوف وشكوك الموظفين: يجب وضع برنامج لاستقبال ومعالجة جميع 
المخاوف والشكوك المقدمة من قبل الموظفين بشكل سري وعدم الكشف عن هوياتهم. 
وينبغي أن يتضمن البرنامج الفعال للمخاوف الموظف: 

e‏ مركديا نالسة الشكيك E‏ ا فيا 
٠‏ ضوابط لضمان إجراء التحقيقات الكافية باستمرارء مع التوثيق السليم الذي يصف 
القرار الصادر بشأن تلك الشكوك. 


دليل المسئول التنفيذي لحوكمة تقنية المعلومات a‏ 


الفصل العشرون 


٠‏ آلية التغذية الراجعة لتقديم المشورة للموظف في التصرف وإبلاغه بالحكم المتعلق 
بالمسألة المبلغ عتها. 
0 عملية تقييم دوري لفاعليه البرنامج. 

۴- تدريب المشرفين: ينبغي إجراء دورات تدريبية لجميع مشرف الصف الأول والمديرين 
الآخرين حول كيفية الاستجابة بفاعلية للشكوك وال مخاوف المطروحة من قبل الموظفين. 
تتصاعد المشاكل في كثير من الأحيان بسبب سوء الفهم بين الموظف ومشرفه أو مشرفته. 
فمن الممكن أن تعود بعض حالات العنصرية والتحيز والمحسوبية إلى الطريقة التي 
يتعامل أو يعالج بها المشرف حالة معينة مع أحد الموظفين. ومن ثم هناك حاجة ماسة 
لتدريب فعال للمشرفين واللديرين على التفاصيل الدقيقة المرتبطة بالشكوك والمخاوف 
المحتملة لدى المبلغين عن المخالفات. 

-٤‏ إرشادات للمقاولين: نظرا لاحتمالية وقوع الشركات العامة في شباك الأعمال العنصرية 
أو التحيزية أو المحسوبية الناجمة عن المقاولين الرئيسين والمقاولين الفرعيين وغيرهم من 
الوكلاء. لذا ينبغي وضع آليات خاصة معمول بهاء» كتضمين شروط محددة ع العقود 
لحماية الموظف. 

0- استطلاع آراء الموظفين: وينبعي أن نجری الشركات وبشكل دوري فسوحات للقوق 
العاملة لديها لتقييم الثقافة المؤسسية وقياس ما إذا كان لدى الموظفين الشعور بالحرية 
في إبداء مخاوفهم وشكوكهم. 
سواء أكانت شركة كبيرة آم صغيرة. فجميعها الآن تخضع لقواعد ومتطلبات قانون 

501. إن العمليات الخاصة بالأخلاقيات والإبلاغ عن المخالفات التي تمت مناقشتها في هذا 

الفصل تعتبر من الأمور الهامة لتحقيق التوافق مع قانون ×50 والوصول كذلك إلى حوكمة 

مؤسسيه رشيدة. 


بناء ثقافة أخلاقية في محل العمل والحفاظ عليها 


ملاحظة: 

.١‏ لزيد من المعلومات حول شركة إنرون» وشركة ورلد كوم والشركات الأخرى التي 
شاركت في سن قانون ساربينز-أوكساي هكن العثور عليها في العديد من مصادر الإنترنت 
وكذلك كتاب روبرت مولي 011115 نالخ Sarbanes-Oxley Internal Controls: Effective‏ 
with AS5, CobiT, and ITIL (Hoboken, NJ: John Wiley & Sons, 2008).‏ 


دلبل المسئول التنفيذي لحوكمة تقنية ا لمعلومات 1۳1 


ATT 


الفصل الحادي والعشرون 
تأثير حوسبة وسائل التواصل الاجتماعي 


هناك العديد من الأنواع والأنماط الجديدة التي نمت في السنوات الأخيرة في تطبيقات 
ومفاهيم تقنية المعلومات: وقد رافق ذلك ظهور بعض التطبيقات الجديدة والهامة والقائمة 
على ما يعرف بنظم وسائل التواصل الاجتماعي 5(:5]6125 116012 506121 التي جاءت 
بمسميات مثل فيسبوك وتويتر ولينكدإن وغيرها الكثير. فقد كانت هذه التطبيقات موجهة 
في البداية إلى المستخدمين المستقلينء لتتيح لهم إمكانية نشر الملاحظات والصور وغيرها من 
المواد المتعلقة برسائل الصداقة الشخصية على الإنترنت وبين الأصدقاء بشكل عام. وهناك 
العديد من الأمثلة على ذلك» كأن تقوم إحدى الطالبات بنشر صورتها وبعض تفاصيل 
الحفلة التي أقيمت في المدرسة الثانوية» أو أن يقوم آباء فرحون بنشر صور ومعلومات 
عن مولودهم الجديد. وتعْرّف نظم وعمليات إرسال الرسائل هذه بصفة عامة بتطبيقات 
حوسبة وسائل التواصل الاجتماعيء فالعديد من رسائلهم تكون مختصرة جدا ويتم إرسالها 
عبر الرسائل النصية اممتاحة على العديد من الهواتف الخلوية. تعد نظم التواصل الاجتماعي 
من الأدوات العظيمةء وقد فاقت شعبيتها شعبية البريد الإلكتروني المستخدم بكثرة في مجال 
الأعمال هذه الأيام, وذلك باعتراف وشهادة الجميع. ومن الطبيعي أن مط قات 
حوسبة الشبكة الاجتماعية في كثير من الأحيان في إثارة بعض القضايا المتعلقة بحوكمة 
تقنة المعلومات عند استخدامها داخل ئات عمل المؤسسات. 

ليس الهدف من هذا الفصل تقديم إرشادات تفصيلية عن استخدام تلك النظم أو 
التطبيقات الخاصة بالحوسبة الاجتماعية أو عن جوانبها التقنية. لكن الهدف هو مناقشة 
قضايا حوكمة تقنية المعلومات عندما تتعرض المؤسسة التي تسمح بحرية استخدام تلك 
النظم أو حتى تثبيتها لقضايا متعلقة بحوكمة الحوسبة الاجتماعية والرقابة الداخلية. قد 
تكون هذه النظم جزءا رسميا أو غير رسمي من البنية التحتية لتقنية ا لمعلومات في العديد 
إن م يكن في كل المؤسسات اليوم» لذا يتعين على مديري المؤسسات أن يستفيدوا من بعض 
المزايا الإيجابية التي يمكن الحصول عليها من استخدام نظم وسائل التواصل الاجتماعي. 


دليل المسئول التنفيذي لحوكمة تقنية المعلومات 5 


الفصل الحادي والعشرون 


كما يجب عليهم أيضا أن يدركوا أن نظم وعمليات تقنية المعلومات الخاصة بوسائل 
التواصل الاجتماعي قد تشكل بعض المخاطر المرتبطة بحوكمة تقنية المعلومات للمؤسسات 
الموجودة في الوقت الحالي. 


ما المقصود بحوسبة وسائل التواصل الاجتماعي؟ 

إن تطبيق أو نظام التواصل الاجتماعي عبارة عن موقع خدمة أو منصة أو موقع تقني 
على شبكة الإنترنت يركز على بناء شبكات أو علاقات بين مجموعات من الأشخاص أو 
المستخدمين الذين يتشاركون الاهتمامات أو الأنشطة نفسها. قبل سنوات ليست بالبعيدة 
كان مفهوم تقنية المعلومات الخاص بنظام التواصل الاجتماعي غير معروف. إن مثل هذا 
النظام للتواصل الاجتماعي لديه العديد من الميزات والمخاطر في بعض الأحيان بشكل 
أكبر من النظام التقليدي للبريد الإلكتروني الذي يتم من خلاله تعريف كل مستخدم على 
الشبكة من خلال عنوان البريد الإلكتروني الخاص به دون الحاجة إلى المزيد من المعلومات 
عن المشترك. في حين على الجانب الآخرء يقوم الأشخاص الذين يتشاركون الاهتمامات 
والروابط بتسجيل الدخول إلى أحد النظم الخاصة بالتواصل الاجتماعي» وذلك من خلال 
عمل بطاقة دعوة أوتوماتيكية خاصة بهم أو من خلال تقديم يلحة مختصرة عن سيرة 
حياة المشترك. يحق لأعضاء الشبكة القيام بنشر صورهم أو معلومات عن سيرهم الذاتيةء 
أو تعليقات عن أنشصطتهم وأسرهم: أو في بعض الأحيان نشر آرائهم السياسية أو غيرها 
من المواد. تعتبر جميع خدمات وسائل التواصل الاجتماعي تقريبا عبارة عن تطبيقات 
تعمل على شبكة الويب» وتسمح للمستخدمين بالتفاعل عبر شبكة الإنترنت أو من خلال 
البريد الإلكتروني أو الوسائل الخاصة بإرسال الرسائل النصية الفورية. كما تسمح مواقع 
التواصل الاجتماعي للمستخدمين بتبادل الأفكار والأنشطة والأحداث والاهتمامات من 

في الحقيقة: إن تطبيقات تقنية المعلومات الخاصة بوسائل التواصل الاجتماعي كانت 
قد ظهرت وبشكل جيد قبل عصرنا الحالي الذي يشهد حاليا انتشارا واسعا لشبكة الإنترنت 
وحتى قبل ظهور الحاسبات الشخصية ال محمولة. وفيما ياي بعض الاتجاهات الرئيسية في 
تطوير حوسبة وسائل التواصل الاجتماعي منذ بدايتها وحتى الآن: 


تأثير حوسبة وسائل التواصل الاجتماعي 


9841-٠‏ 1: تطبيقات من نوع واحد إلى قليل: ف الأيام الأولى لظهور آجهزة الحاسبات 
الشخصية (على سبيل المثال» 11 #اممف أو ©2 .)]8M‏ كان التطبيق الأول المتعارف عليه 
لوسائل التواصل الاجتماعي يسمى نظام لوحة الإعلانات أو نظام لوحة النشرة المحوسب 
computerized Bulletin Board System (CBBS)‏ والذي انشع في شهر فبراير من 
عام ۱۹۷۸ بواسطة وارد كريستنسن 111156611561 11/310 الذي كان يعمل في شركة 
ل1 . وقد تم استخدام هذا النظام من قبل مجموعة من مطوري البرمجيات في شركة 
1 ليقوموا بمشاركة الرسائل التي تتعلق بأوقات وأماكن الاجتماعات» وذلك لتقليص 
الوقت المهدر في المكالمات الهاتفية. وربما كان هذا التطبيق هو المثال الأول للتطبيقات 
التفاعلية التي يتجاوز فيها حد الرسائل المرسلة نمط الواحد لواحد ليصل إلى نمط واحد 
إلى قليل. 

في الحقيقة فإن شبكة الإنترنت لم تكن شائعة في ذلك الوقت» إلا أنه سرعان ما انتشرت 
آلاف من نظم لوحات الإعلانات 0885.: بمسميات مثل فيدونت 1104017166 في جميع 
أنحاء أمريكا الشمالية وغيرها من الأماكن: لتصبح أدوات مفيدة وذات شعبية متزايدة 
للاتصالات بين المس تخدمين المتباعدين جغرافيا والذين كان بإمكانهم الوصول إلى هذة 
النظم من خلال أجهزة المودم الهاتفية. 

٠‏ -196: نموالإنترنت: في أوائل تسعينيات القرن الماضيء كان استخدام الإنترنت 
متاحا بداية فقط للمؤسسات الحكومية والعسكرية والأكادمية. فقد توجب على مؤلف 
هذا الكتابء أثناء قيامه بتأليف كتابه الأول عن تدقيق تقنية المعلومات» أن يبحث عن 
أحد معارفه في إحدى الجامعات ال محلية لمنحه إذنا كتابياً لإنشاء حساب إنترنت يسمح 
له بالوصول إلى بعض الوثائق الخاصة بتدقيق تقنية ال معلومات. ولكن: سرعان ما ظهر 
العديد من تطبيقات الإنترنت التجارية القائمة على ا للستهلك بمسميات مثل بروديجي 
17 وكوسيوسيرف 11561316م0111). وسرعان ما تحولت هذه الخدمات إلى مقدمي 
خدمات الإنترنت (15۶) 1:0110615م service‏ 111611261 كما كان يطلق عليها E‏ ق 
المدن الرئيسية في الولايات المتحدة. 


الفصل الحادي والعشرون 


وسرعان ما لاقى القبول الزائد للمستهلكين على الإنترنت تأييدا كبيراً من شركة أمريكا أون 
لاين .۸401ء وهي الشركة التي قامت بتسويق الإنترنت بقوة عن طريق نشر الملايين من أقراص 
الاشتراك الخاصة بهاء حيث تمكن المشاركون من الوصول إلى الإنترنت» وإرسال رسائل البريد 
الإلكتروني» وشراء البضائع» والمشاركة في مفهوم جديد من منتديات الإنترنت. هذا بالإضافة 
إلى الفرصة التفاعلية للانضمام الى المنتديات على الإنترنت وبث رسائل البريد الإلكتروني» كانت 

هذه التطبيقات هي الخطوات الأولى في التطبيقات التدريجية لوسائل التواصل الاجتماعي. 

٠‏ -1999: طفرة الدوت كوم: لقد شهد هذا العصر طفرة كبيرة في تقنيات الويب 
وأدوات الإنترنت. وقد اعتمدت معظم تلك التطبيقات الجديدة على المنتجات الاستهلاكية 
الجديدة وعلى عمليات التسويق. وم يحدث في هذه الفترة آي تطور أو نمو في تطبيقات 
وسائل التواصل الاجتماعي يتجاوز حدود مواقع لوحة الإعلانات الموجودة. 

فقد كان الاستثناء الوحيد ف هذا العصر هو ظهور تطبيق 81665.01 5121(6: وهو من 
آوائل مواقع الويب الخاصة بالشبكات الاجتماعيةء وقد استمر خلال الفترة »٠١٠-۱۹۹۷‏ 
وقد تمت تسميته وفقا للمفهوم "ست درجات من الانفصال"". وقد سمح هذا التطبيق 
للمستخدمين بإدراج الأصدقاء وأفراد الأسرةء وا معارف» كما سمح أيضا للمتصلين الخارجيين 
بالانضمام إلى الموقع. وتمكن المستخدمون من إرسال رسائل ونشر الإعلانات والحوارات 
النقاشية للأشخاص الذين هم من الدرجة الأولى أو الثانية أو الثالثة بالنسبة لهم» كما تمكن 
المستخدمون من مشاهدة الروابط مع الأشخاص الآخرين الموجودين على الموقع. فقد كان 
هذا التطبيق واحدا من التطبيقات الأولى لمواقع الويب الخاصة بشبكة التواصل الاجتماعي 

بالنمط نفسه الذي نشاهده هذه الأيام. 

:500-٠٠ ٠‏ نمو الاتجاه نحو وسائل التواصل الاجتماعي: على الرغم من أن المخاوف 
المتعلقة بقدوم العام ۲2K ٠٠٠٠١‏ لم تشكل أزمة بالحجم الذي كان متوقعاء ومن انحسار 
الطفرة التي حدثت في الدوت كوم» فإن هناك العديد من تطبيقات وسائل التواصل 
الاجتماعي الجديدة قد اطلقت خلال هذه الفترةء منها ماي سبيس 1/[:50366: وفيسبوك 
۴aceb ook‏ وفريندستر Friendster‏ ولينكدإن 11111260111 وغيرها. وسوف نناقش كر 
من هذه التطبيقات بمزيد من التفصيل في الأقسام التالية. 


1۳ دليل المسئول التنفيذي لحوكمة تقنية المعلومات 


تأثير حوسبة وسائل التواصل الاجتماعي 


وقد تم استخدام العديد من هذه التطبيقات الجديدة على نطاق واسع من قبل 
أشخاص من داخل ال منظمات المؤسسية ومن خارج التطبيقات الخاضعة لسلطة المؤسسة. 
وعلى الرغم من أنه كان هناك دائما بعض الأصوات ال مرتفعة على نطاق ضيقء فإن تطبيقات 
وسائل التواصل الاجتماعي قد سمحت للناس بإنشاء ال محتوى والمشاركة في التعليقات دون 
مشاركة المنظمة - وهو توجة هدام في غالب الأمر! 


أثناء هذه الفترة تم إطلاق تطبيق آخر على منصة الإنترنت» وهو وورد 5ووع11701022, 
والذي سمح للأشخاص الذين ليس لديهم معرفة بالبرمجة ببناء وإطلاق مواقع المدونات 
الإلكترونية أو المذكرات الشخصية أو مواقع المحتوى. فباستخدام هذه الأداةء هكن لأي 
شخص أن يقوم باستضافة مدونة إلكترونية على موقع المجال الذي تلكه أو تمتلكه ولها 
السيطرة الكاملة على تصميمه ومحتوياته بصورة أساسية. وقد كانت هذه خطوة كبيرة 
نحو الصحافة الشخصية. 

:۳٠١۹- ٠‏ استمرار نمو تطبيقات الشبكات الاجتماعية: استمر نمو وتطوير تطبيقات 
وسائل التواصل الاجتماعي. وذلك من خلال ظهور تطبيقات مثل يوتيوب ]املا 
وهو موقع ويب خاص بتبادل ملفات الفيديو» حيث يمكن لأي شخص أن يقوم بنشر أي 
محتوى للفيديو. وقد ازدادت شعبية استخدام الهواتف الذكية بشكل كبير وملحوظ» 
في هذه الفترة. وأصبحت رائجة على نطاق واسع:؛ ويمكن للمستخدم أن يحمل عليها 
مجموعة متنوعة من التطبيقات. را كان التطبيق الجديد والأكثر أهمية في وسائل 
التواصل الاجتماعي خلال هذه الحقبة هو تويتر 2,1501161 وهو تطبيق يستخدم للرسائل 
أو التعليقات الإلكترونية القصيرة» حيث يستطيع المستخدم أن يقوم بنشر رسائل تعتمد 
على المحتوى القصير ومتابعة الآخرين من خلال دفعات قصيرة من المعلومات. وسوف 
نقدم تويتر بمزيد من التفصيل في قسم لاحق. 

۲٠‏ وما بعدها: استمر نمو استخدامنا لتطبيقات الوسائل الاجتماعية في هذه الفترة, 
الأمر الذي تسبب في ظهور العديد من القضايا والمخاوف المتعلقة بحوكمة تقنية ا للعلومات 
في المؤسسات هذه الأيام. فعلى سبيل المثالء قد شهدت الأحداث العالمية خلال الأشهر 
الأولى من عام ۲١٠١‏ ما أطلق عليه شعبيا اسم الربيع العربي. حيث تم الإطاحة بالقادة 
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الفصل الحادي والعشرون 


السياسيين المستبدين في كل من تونس ومصر وليبيا. وقد بدأت الاحتجاجات المناهضة 
للحكومة في كل دولة من تلك الدول بعد إجراء العديد من الاتصالات والحوارات عبر 
وسائل التواصل الاجتماعي بواسطة الفيسبوك وغيره من الوسائل الأخرى. فقد رأى الناس 
الأحداث التي آثارت غضبهم وقاموا بنشر تعليقاتهم وصورهم للآخرينء من الذين قاموا 
بنقلها لأشخاص آخرين. وكانت النتيجة هي تصاعد موجات من الاحتجاجات الشعبية 
التي سرعان ما أطاحت بتلك الحكومات. 
وعلى الرغم من أن استخدام الناس لمثل هذه الوسائل الخاصة بالتواصل الاجتماعي 
اسوك" للإطاعة بالحكومات الخ داذرة يعن واحذا من الأمغلة الحقيقية غك الساظة 
القوية لتلك الوسائلء فإنها لا تزال تحمل بعض التحديات التي تتعرض لها المؤسسات 
هذه الأيام. فمن الممكن أن تشكل أدوات وخدمات وسائل التواصل الاجتماعي بعض 
التحديات بالنسبة لحوكمة تقنية المعلومات في المؤسسات هذه الأيام. فإن هذه النظم 
تعتبر جديدة بالنسبة للعديد من المؤسسات الحاليةء ولا تستطيع تلك المؤسسات التي 
لا تزال تستخدم النظم والتطبيقات التقليدية لتقنية المعلومات أن تكون في المكانة التي 
تسمح لها بسهولة بتبني نظم وسائل التواصل الاجتماعي المفتوحة والمرنة. هذا بالإضافة 
إلى أنه سيكون الأشخاص العاملون في المؤسسة في الغالب عبارة عن مستخدمين يقومون 
باستخدام تطبيقاتهم الخاصة بحوسبة وسائل التواصل الاجتماعي بشكل شخصي. الأمر 
الذي من الممكن أن يثير بعض المشاكل المتعلقة بحوكمة تقنية المعلومات في حال مم تقم 
المؤسسة بوضع القواعد والإجراءات المناسبة التي تغطي العمليات التشغيلية لتلك الوسائل. 


أمثلة على وسائل التواصل الاجتماعي: 

ستتناول الأقسام التالية ثلاثة من أشهر تطبيقات وسائل التواصل الاجتماعي التي 
يختلف بعضها عن بعض كلياً (فيسبوك ولينكدإن وتويتر)» كما أنها ستتناول بعض 
القضايا المميزة الخاصة بالحوكمة المحيطة بكل تطبيق من هذه التطبيقات. لقد بدا 
استخدام كل تطبيق من هذه التطبيقات بشكل شخصي. إلا أن الناس قاموا بنقله إلى 
أماكن العمل من خلال الاتصالات التي يجرونها على نظم الحواسيب المحمولة والهواتف 
الذكية الخاصة بهم. 


تأثير حوسبة وسائل التواصل الاجتماعي 


فيسيوك :Facebook‏ 
فيسبوك هو أحد خدمات ومواقع الويب الخاصة بالتواصل الاجتماعي التي تم إطلاقها 
في شهر فبراير من عام ٠٠١6‏ من قبل مارك زوكربيرج e۲۲۴‏ )نا2 813116 وعدد من زملائه 
القاطنين معه في السكن الجامعي الخاص بجامعة هارفارد 1131210: وسيلة للتواصل 
وتياذل اللعلومات بين زملائهة من طلاب الجامعة. كان تطبيق الفيسبوك فى البداية مقتصرا 
فقط على طلاب جامعة هارفارد» ولكن سرعان ما امتد ليصل إلى الكليات الأخرى في منطقة 
بوسطنء ثم وصل إلى جامعة ايفي ليج عنا1.628 ر۷[ ثم جامعة ستانفورد 5]8111010. 
وقد أخذ فيسبوك تدريجيا في نيل دعم طلاب الجامعات الأخرى عن طريق السماع قبل أن 
ينتقل بعد ذلك ليصل إلى طلاب المدارس وغيرهم من المستخدمين. أصبح نظام فيسبوك 
هذه الأيام يحظى بشعبية كبيرة ويستخدم من قبل الكثير والكثير من الأشخاص في جميع 
أنحاء العالم. كما أنه حل محل البريد الإلكتروني كوسيلة للاتصال بين الأفراد بالنسبة للعديد 

من الأشخاص هذه الأيام. 


أصبح عدد المستخدمين النشطين لنظام فيسبوك في أغسطس ١‏ يزيد عن +910 
مليون بعد أن كان يستخدم من قبل مستخدمين محدودين في السكن الجامعي عام 3٠١6‏ 
وما زال عدد المستخدمين لهذا التطبيق في تزايد مستمر. وقد بدأت شركة فيسبوك العمل 
غلى أنها فة خاضة إلا أنيا أضبحت مرا رة عامة, 

تكون البداية الأولى للأفراد المستخدمين لتطبيق فيسبوك ناتجة غالبا عن تحفيز من 
أحد الأشخاصء» وهو عادة ما يكون صديقاً شخصياء يقوم بإرسال رسالة بريد إلكتروني إليهم 
طالبا منهم أن يصبحوا أصدقاءه على فيسبوك. وبعد ذلك سيُطلب من المستخدم الجديد 
بأن يقوم بإنشاء ملف شخصيء وإضافة مستخدمين آخرين كأصدقاء ليتبادلوا الرسائل 
والإشعارات التلقائية التي تنطلق عند تحديث ملفاتهم الشخصية. كما مكن للمستخدمين 
الانضمام إلى مجموعات المستخدمين ذوي الاهتمام ال مشترك التي تم ترتيبها وتنظيمها من 
قبل مكان العمل أو المدرسة أو الكليةء أو غير ذلك من ال معاط. 


دليل المسئول التنفيذي لحوكمة تقنية المعلومات 1۹ 


الفصل الحادي والعشرون 


الانضمام إلى فيسبوك: 

وبالنسبة لكثير من محترفي الأعمال الرفيعي المستوىء يعتبر فيسبوك أكثر من مجرد 
تطبيق تقنية معلومات. فهو في غالب الأمر مفهوم رها يكون كبار محترفي الأعمال قد قرؤوا 
عنه. حتى وإن لاحظنا في كثير من الأحيان عدم فهم المدير التنفيذي نفسه لهذا النظامء 
والذي يتجاوز عادة حدود التعليقات والأنشطة التي يقوم بتبادلها مع أبنائه وغيرهم 

من البارعين في نة امات وهل کون هذا حقرق) خصوصا إذا كان لدف ايه أبناء 

يستخدمون ويفهمون نظام فيسبوك وهم في سن الجامعات أو المدارس الثانوية. فهناك 
٠‏ من ملايين ال مستخدمين لفيسبوك هم دون سن 0". 

في كثير من الأحيان يشارك الشخص في فيسبوك للمرة الأولى من خلال تلقيه رسالة 
بريد إلكتروني من قبل أحَد شركاء الأعمال أو الأقارب طالبا منه أي يصبح ا له 
على فيسبوك. الشكل التوضيحي )١-5١(‏ يوضح الخطوات اللازمة لتسجيل الدخول إلى 
الفيسبوك. الفكرة هي أن الشخص يقوم بتسجيل الدخول بالاعتماد على الدعوة الأولية 
الموجهة إليه. ومن ثم يمكنه الاتصال بالآخرين الذين هم أيضاً مستخدمون لفيسبوك. يمكن 
للأصدقاء على فيسبوك الاتصال مع الآخرين بطريقة متتالية بصفة أصدقاء الأصدقاء الذين 
يمكنهم الاتصال لإنشاء شبكة واسعة. 


استخدام فيسبوك: 

إن تطبيق فيسبوك أكثر بكثير من أن يكون مجرد بديل عن استخدام نظام البريد 
الإلكترونيء فهو يسمح لك بأن تقوم ببناء ملف شخصي خاص بكء ونشر أو إرسال الرسائل 
لكل شخص من الأشخاص الموجودين على قائمة الأصدقاء الخاصة بكء لتقوم بتقديم 
الشروحات للأنشطة التي تمارسهاء ولتتبادل الرسالة مع أصدقائك على الفيسبوك» والعديد 
من الأنغطة الأخرى. فقد تتش ابه إلى حد ما هذه الرسائل سواء كانت نصية أم صورا مع 
محتويات البريد الإلكتروني أو الرسائل النصية القصيرة المرسلة من خلال الهواتف الذكية. 
ومن المؤكد أن تلك الرسائل ال مرسلة في بيئة السكن الجامعي تكون عادة عبارة عن تعليقات 
وصور تتعلق بإحدى الحفلات أو الأحداث التي وقعت مؤخرا. وتكون في العادة مجرد 


1 دليل المسئول التنفيذي لحوكمة تقنية المعلومات 


تأثير حوسبة وسائل التواصل الاجتماعي 


ملاحظات يتم إرسالها دون الحاجة للرد. ويمكن لمستخدم فيسبوك أن يقوم بإرسال مذكرة 
محددة أو سؤال إلى أي شخص أو لجميع الأشخاص الموجودين على قائمة أصدقائه. ويمكن 
عندئذ أن ترسل أو تَوَجّه تلك الرسائل إلى غيرهم. 


شكل توضيحي (1-71) 


قم بإدخال اسمك بالكاملء عنوان بريد إلكتروني سليم» وتاريخ الميلاد. 
وبالإضافة إلى ذلك ينبغي عليك إدخال أكبر قدر من المعلومات الشخصية وذلك 
عندما ترغب في نشرها على حسابك فى فيسبوك في القسم "حول "01۲ طا۸". وهذا 
قد يشمل عنوان العملء والخلفية التعليمية: وأي مجال من المجالات العديدة 
الأغرق الخامة بالاتيامات الشخخصية: يكو ألمي أن يغ نها صورة رقمية 
أو صورة لأحد الزوجين والأسرةء وغيرها من المعلومات الشخصية في هذا المكان. 
يمكن مستخدم جديد في فيسبوك أيضا اختيار "لا شيء مما سبق" لتكون مجرد 
اسم مع قليل من المعلومات الشخصية. 

اختر كلمة مرور خاصة بك. إدخال كلمة مرور يسهل تذكرها من ستة أحرف 


اقرأ شروط الاستخدام وسياسة الخصوصية الخاصة بالفيسبوك. ضع علامة 
داخل ال مربع لتعبر عن موافقتك على شروط كل منهما. 

انقر على زر "اشترك!" في آسفل الصفحة وانتظر إعادة توجيه إلى صفحة 
الک اک ظ 


راجع صندوق البريد الإلكتروني الخاص بك وانقر على صفحة التأكيد من 
فيسبوك. فإنها سوف ترسل لك رابط التأكيد للتسجيل الخاص بك. ظ 

تستطيع منشورات الفيسبوك أن تعرض وصفا تفصيليا عن الحياة الشخصية لأحد 
الأشخاص ونشاطاته: وذلك» اعتمادا على مستوى الخضوضية الذي تم تخديدة. على سبيل 
المثال» بعد الدخول إلى فيسبوك» يستطيع الشخص أن يدخل إلى أحد الأسماء المعروفة 








الفصل الحادي والعشرون 


والذي رها يكون مَس جلا في فيسبوك - أو إلى اسم أي شخص آخر لنفس الغرض - والنظر 
إلى ا ملف الشخصي الخاص بهذا الشخصء وإلى آخر المنشورات المرسلة من الآخرين»ء كما 
يستطيع الوصول إلى أصدقاء ذلك الشخص على الفيسبوك» وحتى الاطلاع على منشوراتهم 
أيضا. وسنتحدث بشكل أكبر عن المخاوف المتعلقة بخصوصية الأعمال في هذا المجال في 
قسم لاحقء ولكن إذا م يقم مستخدم فيسبوك بتحديد النشاط الذي يقوم به على فيسبوك 
على أنه نشاط خاص» فإنه هكن لأحدهم أن يصل في بعض الأحيان إلى معلومات تفوق 
الحد الذي يريده ذلك المستخدم. على سبيل المثال؛ قد يرى الشخص بعض الرسائل من 
نوع "شكراً لدعوق لل. . . " التي تم إرسالها إلى أحد الأشخاص. وأحياناً مع صورةء وكذلك 
القدرة على الذهاب إلى صفحة فيسبوك للمرسل. هذه الرسائل المرسلة تبقى لفترة طويلة: 
مالم يتم اتخاذ خطوات مدروسة لحذف السجلات. وعلى الرغم من روعة كل هذا الأمر 
بالنسبة لحياة الطالب الجامعيء فإن المنشورات والأنشطة المسجلة قد تكون مصدرا لبعض 
المخاوف المتعلقة بالخصوصية وحتى المخاوف الأمنية في بيئة الأعمال. 

ومن الممكن أيضا أن يكون تطبيق فيسبوك مفيداً في بيئات العمل إذا ما استخدم 
وسيلة لبناء وإدارة فرق القوة العاملة. فعلى سبيل المثالء. بالنسبة للمشاريع التنفيذية 
للنظم الكبيرة - على غرار الجهود الوارد وصفها في الفصل السادس عشر من هذا الكتاب 
حول إدارة المشاريع والبرامج - فإن مدير المشروع هكن أن يطلب من جميع أعضاء 
فريق المشروع أن يقوموا بإنشاء أو تحديث ملفات التعريف الخاصة بهم على فيسبوك 
ليتم تثبيتهم بوصفهم أعضاء في فريق المشروع. عندها سيكون من السهل القيام بجدولة 
وإرسال أحداث المشروع: كما هكن للمدير المسئول التعرف على المعلومات الأساسية لأعضاء 
الفريق والدخول إلى ملفاتهم الشخصية بطريقة أكثر لطفاء على عكس ما يحدث عند قيامه 
بالوصول إلى سجلات الموارد البشرية التقليدية. 

إن حديثنا هنا يُبرز فقط القليل من سمات فيس بوك الآخذة في التوسع. يمكن للمرء 
الاشتراك لتحميل منشورات من مواقع ويب محددةء ونشر الرسائل أو التواصل من خلال 
الهاتف الذي واستقبال رسالة عيد الميلاد التي يمكن نشرها لجميع أصدقاء هذا الشخص على 
فيسبوك. بالنسبة للمؤسسة التجاريةء يتسبب تطبيق الفيسبوك في إثارة بعض ال مخاطر. 


تأثير حوسبة وسائل التواصل الاجتماعي 


على سبيل ال مثال» من الممكن أن يقوم أحد الموظفين بإرسال شكوى ف منشور على فيسبوك 
تتعلق بجودة بعض منتجات الشركة أو حتى كفاءة أحد المديرين. فالرسالة التي أرسلت 
إلى أحد الأصدقاء على فيسبوك على أنها رسالة شخصية ممكن أن يرسلها هذا الصديق إلى 
أصدقاء الأصدقاء مكونين بذلك شبكة اتصالات واسعة النطاق والتي يكون لها أحيانا مردود 
على المؤسسة وبعض القضايا الخاصة المتعلقة بها. كما سنتحدث في القسم التالي عن 
القضايا القانونية الخاصة بوسائل التواصل الاجتماعي» حيث يوجد العديد هنا من قضايا 
حوكمة تقنية المعلومات. 


على الرغم من امتلاك تطبيق الفيسبوك أداة خاصة لبناء صفحات أعمال المؤسسة. 
والتي تعد إحدى الأدوات القوية لتسويق جميع جوانب العمليات التجارية للمؤسسة. 
وآن هناك تصاعدا ا في استخدام الفيسبوك باعتبارها إحدى أدوات الاتصال في مجال 
الأعمالء فإنه يستخدم عادة في هذه الأيام لغايات الاتصالات الشخصية وليس للأعمال 
التجارية. فإنشاء صفحة أعمال على الفيسبوك تعد من الوسائل الجيدة للترويج وذلك لأن 
صفحات الأعمال على فيسبوك يمكن مشاهدتها من قبل الملايين من مستخدمي فيسبوك. 
تعد صفحات فيس بوك تلك مثابة منصة إعلانية فعالة تقدم أساليب مبتكرة للتسويق عبر 
الويب» الأمر الذي يسمح بالتفاعل بين أصحاب الأعمال والعملاء. في الحقيقة فإن هذه 
الصفحات تذهب إلى ما هو أبعد من قضايا حوكمة تقنية المعلومات المذكورة في هذا 
الفصل؛ كما آنا قل تطبيقا مؤسسا قويا وفجالا. 


لينكدان :LinkedIn‏ 
لينكدإن هو أحد تطبيقات وسائل التواصل الاجتماعي التي تحظى بشعبية كبيرة» ويقوم 
هذا التطبيق على الشبكات الاجتماعية أو المهنية المرتبطة بالأعمال التجارية. ويستخدم 
لإجراء اتصالات شبكية بين العديد من المجموعات المهنية: كأعضاء ۸1٤٥۴۸‏ أو خريجي 
الجامعات. يعد موقع لينكدإن أيضا بمثابة منصة اتصالات شعبية بالنسبة للعديد من 
الفئات المهنية» كمديري المشاريع والمهندسين المدنيين» والجيولوجيينء واطمدققين» وغيرهم 
الكثير. وتعمل تلك المنصة في جميع أنحاء العالم وبعدة لغات. وقد كان هناك أكثر من 

۵ مليون مستخدم مسجلين ق لينكدإن حتى وقت نشرنا لهذا الكتاب. 


دلبل المستول ١‏ لتنفيذي لحوكمة تقنية ايلعلومات وداه 


القصل الحادي والعشرون 


كانت المرة الأولى التي تعَرّف فيها معظم المهنيين على تطبيق لينكدإن من خلال 
استقبال رسالة بريد إلكتروني من أحد المشاركين المهنيين مصحوبة بدعوة للانضمام إلى 
إحدى المجموعات الموجودة في لينكدإن: أو للقيام بتأسيس اتصال لينكدإن لبعض المصالح 
أو الاغتمافات المهنية اللشعكة. إذا كان الشهض اللدعو حديدا على تظبيق لكان فاته 
يطلب منه التسجيل عن طريق إرسال بعض المعلومات الشخصية: والتي تتعلق غالبا 
بسيرته المهنية. الأمر الذي يأخد طابعا أكثر رسمية مما هو عليه في تطبيق الفيسبوك» الذي 
من خلاله يطلب من الشخص أن يصبح أحد أصدقاء فيسبوك لشخص ما دون الحاجة إلى 

إدخال أي معلومات أو تقديم طلب ما. 

عند التسجيل في لينكدإن عضوا في إحدى المجموعات المهنية» فإنه يُطلب من المستخده 
أن يقوم بتوفير معلومات عن سيرته المهنية وأصحاب العمل الحاليين والسابقين» وكذلك 
تواريخ تلك الوظائف وغيرها من ال معلومات اطهنية الشخصية. كما يوجد هناك حيز لنشر 
سيرة ذاتية كاملة وإعلانات وغيرها من المواد. ويضم النظام أيضا عملية تسمح للمسجل 

الجديد أن يطلب جهات الاتصال الخاصة بأرباب العمل والمهنيين السابقين لتقديمها كمراجع. 

يسمح تطبيق لينكدإن للمستخدمين المسجلين بالاحتفاظ بقائمة تفصيلية بجهات الاتصال 

مع الأشخاص الذين لديه معهم مستوى معين من العلاقة تسمى زملاء 1085]ء0016. 

يمكن للمستخدمين أن يقوموا بدعوة أي شخض (شواء کان دما للموقع أم لا) ليصبح 

زمىلا 01181101 ضمن مجموعة الزملاء إلا أن المتلقي للدعوة يستطيع اختيار "لا أعرف" 

ليقوم برفض الدعوة الموجهة إليه. يمكن استخدام زملاء لينكدإن بإحدى الطرق التالية: 

٠‏ مكن بناء شبكة اتصال مكونة من الزملاء المباشرين لشخص ماء ويوصف الزملاء الأوائل 
بزملاء الدرجة الثانية» وأيضا يوصف زملاء الدرجة الثانية بأنهم زملاء الدرجة الثالثة. 
يمكن أن يستخدم هذا للحصول على تعريف لشخص ما يرغب في معرفته من خلال 
الاتضال المتبادل. 

٠‏ ويمكن بعد ذلك أن يستخدم لينكدإن في العثور على وظائف» وأشخاص: وفرص الأعمال 
التي أوصى بها شخص ما في شبكة اتصال أحدهم. 

٠‏ يمكن لأصحاب العمل إدراج الوظائف والبحث عن المرشحين المحتملين. 


ع7 دليل المسئول التنفيذي لحوكمة تقنية المعلومات 


تأثير حوسبة وسائل التواصل الاجتماعي 


٠‏ يمكن للباحثين عن وظيفة مراجعة الملف الشخصى لمديري التوظيف واكتشاف أي من 
جهات الاتصال الموجودة مكن التواصل معهم من خلالها. 
الهوية. 

. يمكن للمستخدمين متابعةه مختلف الشركات والحصول على اشعارات حول ال منتجات 
الجديدة أو غيرها من المعلومات. 
ا مهنيين المرتبطين بعلاقة سابقة: أو بإدخال إحدى جهات الاتصال الخاصة بهم بنية بناء 
الثقة بين مستخدمى الخدمة. 


ضمن حدود المجالات المتنوعة للموضوعات المتخصصة ال موجودة في تطبيق لينكدإنء 
فإن مواقع هذا التطبيق تعد منتديات نقاشية نشطة تغطي العديد من المجالات ا متخصصة 
في لينكدإن. على سبيل ال مثال» يتضمن موقع لينكدإن الخاص بالجمعية الوطنية لأجهزة 
التحكم في الشركات”" سلسلة من النقاشات النشطة. ويجوز لعضو لينكدإن المشترك في 
هذه المجموعة أن يقوم بطرح سؤال مثل: "كيف يجب على مجلس الإدارة أن يدير مدققيه 
الداخليين بشكل أفضل؟" وقد يقوم الأعضاء الآخرون في هذه المجموعة بالرد على هذا 
السؤال» وقد تكون النتيجة نشوب نقاش ساخن يستمر بين جميع الأطراف. 

ولعل الأمر الأكثر أهمية في سمات الاتصالات المهنية الخاصة بتطبيق لينكدإن» هو 
أنه يشمل سلسلة من التطبيقات المتخصصة التي تهدف للحصول على إرشادات وظيفية 
وتحليل سير الأعمالء وتعزيز مبيعات المنتجاتء وتعزيز الوعي بالعلامة التجارية» والتعامل 
مع مبيعات التذاكر. والتواصل مع المستثمرين وما هو أكثر من ذلك بكثير. إن تطبيق 
استطلاعات الرأي الخاص بتطبيق لينكدإن يعد من الأمثلة الجيدة على ذلك. فهو يتيح 
لمستخدمي لينكدإن إمكانية العثور بسهولة على إجابات لأسئلة تخص أبحاث الأعمال 
والسوق. فهو يسمح للمؤسسة بأن تقوم بطرح بعض الأسئلةء التي سيقوم تطبيق لينكدإن 
بتوزيعها على زملائك وعلى الملايين من المهنيين المتواجدين على الموقع. ومن الممكن 
أيضا أن يتم مشاركة نتائج الاستطلاعات مع مستخدمي فيسبوك أو تويتر على الحساب 
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الخاص بالمؤسسة: أو القيام بإضافتها إلى موقع الويب الخاص بالمؤسسة. وهو يعمل تماما 
مثل أي خدمة استطلاع أخرى: يمكن لمستخدمي لينكدإن أن يقوموا بطرح سؤالء وإضافة 
حتى خمسة ردود أو إجابات محتملة: واختيار مدة التشغيل. وبمجرد أن يتم استلام 
الإجابات ضمن المدة الزمنية المحددة. فإن لينكدإن سيقوم بمشاركة الإجابات مع الشبكات 
الاجتماعية التي تم تأسيسها أو المواقع الإلكترونية للمؤسسة. نظراً لوجود هذا الرابط 
القوي في تطبيق لينكدإنء فإن ردود الاستطلاع يمكن تقسيمها للتصويت حسب العمر أو 
الجنس أو الأقدمية . وهو ما يسمح للإدارة بتحليل أسئلة مثل " هل إجابة الشخص الذي 
عمره ۲۵ سنة تختلف عن إجابة الشخص الذي عمره 60 سنة؟" أو " هل تختلف إجابات 
الرجال عن احابات التساء؟ ": 


إن لينكدإن أكثر من مجرد تطبيق خاص بالأعمال التجاريةء كما أنه لا يمتلك البيئة 
المفتوحة نفسها وا معرضة للمخاطر المحتملة التي يمكن أن نجدها فى فيسبوكء فالرسائل 
المرسلة لأصدقاء فيسبوك يمكن بسهولة تعميمها وإعادة تعميمها على الآخرين. ومع ذلك 
ونظرا لأن تطبيق لينكدإن يعتبر وسيلة للاتصالات والنقاش المهني بين مختلف الفئات 
اة المخصصة: فمن الممكن ثلبيانات الس فة للمؤسمة أن تسرب سهولة من خلال 
مواقع النقاش الخاصة بتطبيق لينكدإن. أحد مهندسي تطوير المنتجات» على سبيل المثال» 
قد يقوم بالاشتراك في موقع لينكدإن الخاص بممهندسي تطوير المنتج في المؤسسة. كجزء من 
ا مناقشات الجارية على الإنترنت عبر تطبيق لينكدإنء قد يقوم مهندس التطوير بالرد بشكل 
غير سليم على مناقشة عبر الإنترنت عن طريق إعطاء بعض المعلومات السرية للمؤسسة 
حول نقطة فنية دون أن يدرك طبيعة البيانات الصادرة عنه. أضف إلى ذلك» أن السيرة 
الذاتية لهذا المهندس قد تكون مفتوحة لشركات التوظيف الخارجيء ويكون هناك استنزاف 
محتمل لوارد الشركة. 


: Twitter توبتر‎ 


كانت المرة الأولى التي سمع فيها العديد في الولايات المتحدة الأمريكية عن تطبيق تويتر 
1 في عام 7١١١‏ وذلك عندما حاول عضو الكونجرس الأمريكيء أنتوني ویثر 4.1120 
Wein‏ إرسال صورة خليعة له على تويتر إلى مساعدته في الحملة الانتخابية: إلا أن الصورة 
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ف اساك بالقطاً إن هة الوره اجره وحن ايه على لوب ها قطان غا 
المتابعون 10110177615 بلغة تويتر). وسرعان ما نشرت الصحافة أن عضو الكونجرس آنذاك 
كان رسال العديذ.من الرسائل اللفيتة الأخرق غلل حساف قوير أجيرت هذة الأحداث 
وينر على الاستقالةء ومن المؤكد أن حماقته قد تسببت في جعل العديد يسمع عن القدرة 
الهائلة لتويتر. 

تويتر هو خدمة مجانية تسمح لأي شخص أن يقول تقريبا أي شيء لأي شخص آخر ما 
دامت رسالته لم تتجاوز ١4٠‏ حرفاء فهو نظام يخاطب مستخدمه "ما الذي تقوم به الآن" 
ويتخلل ذلك تواصل اجتماعي على الإنترنت. واستنادا إلى شعاره الذي يثله الطائر الأزرق» 
فإن تويتر هكن مستخدميه من إرسال وقراءة تلك المنشورات التي تعتمد على النض أو 
الرسائل القصيرةء المعروفه بشكل غير رسمي باسم "تغريدات ءا٥٥1"‏ والتي ترسل في كثير 
من الأحيان من خلال الهاتف المحمولء إما عن طريق الرسائل النصية أو التطبيقات التي تم 
إصدارها لبعض الهواتف الذكية. وبوجود كل هذه التطسقات الخاصة بالرسائلء فإن تودتر 
يعد واحدا من المواقع العشر الأولى الأكثر زيارة في جميع أنحاء العام. ويشير الاستطلاع 
الذي أجرتة شركة كومبيت دوت كوم 616.6011م0112) في شهر فرادر 8:5 إلى أن تويتر 
يشكل الشبكة الاجتماعية الثالثة الأكثر استخداماء وذلك استنادا إلى إحصائياتهم التي تدل 
على وجود ستة ملايين زائر جديد في الشهر وخمسة وخمسين مليون زيارة تتم على تويتر 
شهريا. وللمساعدة في شرح المصطلحات والمفاهيم الخاصة بتويتر» فإن الشكل التوضيحي 
)7-1١(‏ يسرد البعض منها. وقد يلاحظ العديد من كبار المديرين استخدام موظفيهم لهذه 
المصطلحات أثناء قيامهم بإرسال تغريداتهم للآخرين. 
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شكل توضيحي (١5-؟)‏ 
المصطلحات والمفاهيم الخاصة بتطبيق تويتر 


٠‏ تغريدة 156©1: عندما تنشر أو تكتب 2 حرفا على ویر وتفقز إرسال فهى تعد تغريدة أو 


تويتينغ 1118أع176]. 

٠‏ تسجيل حساب 1133016: عبارة عن اسم المستخدم على تويتر في شكل 0111]3876©. اسم 
شخصي قصير مشابهة ل 0۸1. 

٠‏ متابعة 1201101: هذا هو الإجراء الخاص بإضافة شخص ما إلى قائمة الأشخاص الذين تتابعهم. 
مما يجعل تغريداتهم تظهر على الصفحة الرئيسية الخاصة بك. 

- الردود 1165م»18: وهذا يحدث عندما يكتب شخص ما تغريدة مباشرة على حساب ال مستخدم‎ ٠ 
أي ثرثرة في منشور هادئ - وأيضا ف كثير من الأحيان يكون دعوة للتواصل مع متابع آخر.‎ @ducttape 

٠‏ إعادة التغريد اع186]1: يعد هذا انمايا لإعادة نشر تغريدة شخص اخرء وتبقى التغريدة 
الأصلية بجانب حساب المؤلف سليمة دون تغييرء ولكنك في الأساس تظهر تغريدة شخص ما إلى 
الأتباع: والعديد يستخدم هذا لإضافة محتوى ومعرفة المواد من الأشخاص الذين يتبعونه. 

٠‏ الرسالة المباشرة :2M‏ هذا المصطلح عبارة عن رسالة يتم إرسالها مباشرة إلى مستخدم آخر. 
يحب أن يكون هذا الفخص متابعا لك لتعمكن من إرسال رسالة مباقرة له أو لهاء.وهذة تعد أذاة 
مفيدة جدا للرسائل الخاصة. 

٠‏ الوسم (هاشتاج) 1]38!وة11: وهي طريقة يستخدمها الأشخاص لتصنيف التغريدات على سبيل 
ا مثال قد يستخدم الآخرون العلامة نفسهاء ومن ثم تكون وسيلة فعالة للناس لعرض تغريدات ذات الصلة. أ 

على الرغم من القدرات الهائله لتويتر على متابعه وحمل سيل كبير من الرساثل المتعلقة 
بمجموعة كبيرة من الأشخاص وال موضوعات» فإن مستخدم تويتر وأحياناً الموظف قد يقضي 
الكثير من الوقت في قراءة وإرسال هذه التغريدات. على سبيل المثال» قامت شركة بير أناليتكس 
(قع1الإلههث ننهء2) المعنية باستطلاع أوضاع السوق التي يقع مقرها في سان أنطونيو بولاية 
تكساس الأمريكيةء بتحليل ۲٠٠١‏ تغريدة (منشؤها الولايات المتحدة وباللغة الإنجليزية) على 
مدى أسبوعين في أغسطس ۲۰١۹‏ وتم تصنيف الرسائل إلى الفئات الست التالية©: 

-١‏ ثرثرة عدهة الجدوى - ٠١‏ ق المئة 





؟- محادثة - 758 ف المئة 
۳- قيمة تمرير الرسائل - ٩‏ في اطئة 
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-٤‏ الترويج الذاتي - 5 في المئة 


0- الرسائل غير ال مرغوب فيها - ٤‏ في المئة 
1- أخبار - ٤‏ ف المئة 


تشير هذه النتائج إلى أن تويتر يحتوي غالبا على الكثير من "الثرثرة العديمة الجدوى". وهو 
البند الأول في القائمة أعلاه. ولعل الميزة هنا هي أن هذه الرسائل تسمح للمغردين عبر تويتر 
أن يعرفوا الناس من حولهم فيم يفكرون وماذا يفعلون وبم يشعرون؟ في جميع الأحوالء 
فإن العديد من هذه التغريدات يشبه إلى حد ما جلسات الحوار التي كانت تتم بين موظفي 
الشركة أثناء تجمعهم بالقرب من مبرد الماء” في الماضي. كان المدير المخضرم في ذلك الوقت 
يرفض أو يحد من مثل هذه النشاطات الخاضة بالدردشة حول مبرد المياه. لذا لا بد من 
عمل محاولات مشابهة للحد من استخدام الموظفين لوسائل التواصل الاجتماعي أثناء العمل. 


سواء نظرنا إلى مثال عضو الكونجرس السابق الفاسد وينر مذ الذي سبق الحديث 
عنه» أو إلى أي من الأمثلة الحالية العديدة الأخرى؛ فإن تويتر يعد أداة قوية يمكن أن تشكل 
مخاطر على المؤسسة إذا ما تم استخدامها بشكل غير لائق. فكما تحدثنا للتو عن أهمية مدونة 
قواعد السلوك المهني للمؤسسة في الفصل العشرين من هذا الكتاب» والحاجة إلى إقرار بأن 
جميع أصحاب المصلحة المعنيين بها قد قاموا بقراءة وفهم المدونة ووافقوا على الالتزام بهاء فإنه 
يجب على المؤسسة أن تطلق سياسة مماثلة لتطبيقات وسائل التواصل الاجتماعي مثل تويتر. 

الشكل التوضيحي )١-١١(‏ عبارة عن مثال لسياسة المؤسسة المتعلقة باستخدام الموظف 
لتويتر» وذلك باستخدام العينة الخاصة بنا للشركة العالمية لمنتجات الحاسب. ويمكن تنفيذ 
سياسات مماثلة لفيسبوك وغيرها من تطبيقات وسائط التواصل الاجتماعيء أو هكن صياغة 
السياسة بطريقة تتضمن تطبيقات وسائل التواصل الاجتماعي في المؤسسة؛ ويتجلى جوهر 
ذلك في أن مثل هذه السياسات يجب أن تطلق بطريقة تجعل من جميع الموظفين وأصحاب 
المصلحة الآخرين يكونون على فهم للمقاصد والمخاطر المحتملة من أي من هذه التطبيقات 
الخاصة بوسائل التواصل الاجتماعي. 
(*) تعني الدردشة العارضة بين مجموعة من عمال الشركة الذين لا يكونون على اتصال مباشر أثناء العمل ويلتقون 

في استراحة قصيرة عند مبرد الماء للشرب ويمكن تسميتها في هذه الأيام ب "دردشة التدخين". (المترجم). 
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شكل توضيحي )۳-۲1( 
عينة لسياسة الاستخدام الخاصة بتويتر 
الغرض: تصف هذه الوثيقة استخدام حسابات تويتر الشخصية خلال يوم العمل للموظف. 

وهي لا تنطبق على حسابات تويتر الخاصة بالشركة. 
نظرة عامة: تدرك الشركة أن الشبكات الاجتماعية وأدوات التواصل الاجتماعي الخاصة بال موظف 

تقدم قيمة ما للشركة. ونتيجة لذلكء فقد وضعنا سياسة تسمح بمساحة صغيرة من استخدام تويتر 

أثناء العمل طاما تم العمل سعض ا مبادئ التوجيهية. إذا اعتبرت الميادئ التوجيهية الواردة ف هذه 

السياسة غير مقبولةء فإنه من ثم يعتبر استخدام الموظف لتويتر أثناء العمل أيضا غير مقبول. 
تقدم هذه الوثيقة مجموعتين من المبادئ التوجيهية. المجموع ة الأولى هي التي تنطبق على 

كل استخدام لتويتر يخص الأنشطة المتعلقة الشركةء سواء في أوقات العمل أم في الأوقات الشخصية. 
المجموعة الثانية هي التي تنطبق على أولئك الذين يرغبون في استخدام تويتر أثناء العمل واستخدام 

حساباتهم للمساعدة في الترويج للشركة. 
الميادئ التوجيهية لاستخدم تويتر ف الشركة العالمية لمنتجات الحاسب: 

.١‏ عدم الإفصاح عن العلومات السرية أو الخاصة على حساب تويتر الخاص بك. الإقصاح عن 
امعلومات التنافسية أو الأسرار التجارية يكون سببا كافيا لإنهاء الخدمة. 

۲. تحمل مسؤولية ما تكتب. تذكر أن "إمكانية" أن تقول شيئا ما لا تعني "إجبارك" على أن تقوله. 
الكلمات المكتوبة تكون أكثر صعوبة في التفسير من التفاعل اللفظي. تذكر أن ما تقوله سوف 
يكون بسجل دائم. كن حذرا. كن ذكيا. 

ق ضادقا واستخدم الإفصاح الكامل. إذا كنت تتحدث عن أحد منتجات الشركة أو منتج يملكه 
الطرف الممنافس» فمن مصلحتك أن تفصح أنك تعمل لصالح الشركة. 

.٤‏ احترم حقوق التأليف والنشر. لا ترسل النص أو الصور أو الفيديو الذي تم إنشاؤه من قبل شخص 
آخر دون الإسناد الصحيح. إذا كان لديك أسئلة حول قانون حقوق التأليف و/ أو استخدام بعض 
وسائل الإعلام. اتصل بالقسم القانوني. 

0. تويتر ليست بديلا للاتصالات داخل الشركة. فيجب أن تنتقل المعلومات الهامة من خلال قنوات 
الاتصال الطبيعية للشركةء وليس من خلال تويتر. 

3 تومو ئيس يدبلا هة اا رجاه قم وجه العملا إلى قح غدمدة العملاء بدلا مق 
التعامل مع الاستفسارات بشكل كلي من خلال تويتر. 

لاد کن واضحا أنك لست الناطق الرسمي للشركة وآن وجهات نظرك لا تعكس بالضرورة نظر الشركة. | 
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المبادئ التوجيهية لاستخدم تويتر في العمل: 

.١‏ الأمر يقتضي منك القيام بتقديم إما (أ) رابط لموقع الشركة أو (ب) شعار الشركة على صفحة تويتر 
الخاصة بك. 

۲. أنت مطالب بأن تقوم بتنفيذ إحدى معاملات الشركة على حسابها الخاص على تويتر على الأقل 
مرة في الأسبوع. 

۳. يجب أن يكون جزء من تغريداتك ذا صلة بالشركة و/ أو المجال الذي تعمل فيه. لا يوجد أي 
شرط يخص نسبة محددة يجب الوفاء بها من التغريدات» ولكن يعتبر “٠١‏ من إجمالي التغريدات 
مستوى مثاليا. 1 


.٤‏ تذكر ضرورة أن تكون منتجاء ذلك أن تويتر يمكن أن يبتلع وقتك ويمكن أن يمنعك من إكمال المهام 
الأخرى المتعلقة بالعمل. فاستخدم حكمتك لضمان أن يكون لديك متسع من الوقت لاستكمال 
جميع الأعمال العادية الخاصة بك. 


لقد قرأت هذه السياسة الخاصة بالشركة العامية لمنتجات الحاسب فيما يخص استخدامي لتويتر: 
وأنا أفهم إرشادات هذه السياسة: وأوافق على الالتزام بالقواعد والإرشادات الموضحة في هذه السياسة. 





نقاط ضعف حوسبة وسائل التواصل الاجتماعي في المؤسسة ومخاطرها: 

من الممكن أن يكون التساؤل المنطقي الذي يدور بداخل أحد المسؤولين التنفيذيين 
هوء "أنا أحد كبار المديرين في المؤسسة. لماذا يجب علي أن أقلق جراء استخدام الموظفين 
وغيرهم من أصحاب المصالح لفيسبوكء وتويترء وغيرها من أدوات التواصل الاجتماعي في 
بيئة العمل ماداموا ينجزون المهام الخاصة بهم؟ "هذا النوع من الأسئلة الذي يطرحه 
العديد من كبار المديرين عندما لا يدركون في الواقع طبيعة هذه التطبيقات التي تبدو في 
الظاهر أنها تطبيقات شخصية واجتماعية. 

وكثيرا ما تبدو المواقع الخاصة بوسائل التواصل الاجتماعي أنها اجتماعية وخارج إطار 
الرقابة الخاص بمعظم نظم الأعمال وعملياتها واهتماماتها. وكثيراً ما ينظر إليها وكأنها فقط 
عبارة عن وسيلة تسلية للموظفينء مثل الجهود المشتركة التي تقوم بها لجنة التخطيط 
لإقامة حفلة الإجازة السنوية. ومع ذلك فإنه يمكن للقضايا أو المسائل المتعلقة بوسائل 
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التواصل الاجتماعي أن تذهب إلى ما هو أبعد من مجرد أن تكون عبارة عن رسائل اجتماعية 
وديةء كاحتمالية أن يرى أشخاص آخرون هذه الرسائل وأن يبادروا باتخاذ إجراءات معينة 
تستند إلى هذه الرسائل والمعلومات اللتبادلة. 

لقد أبرزت المقالة الأخيرة في صحيفة شيكاغو تريبيون 6ناط51آ' م8هء1ط0 كيف 
أن دردشة الموظف على فيسبوك ممكن أن تتسبب في مشاكل للمؤسسة. فقد تحدث 
الموظفون لدى تاجر سيارات باستخفاف فيما بينهم على الفيسبوك عن الطريقة التي يمكن 
أن يستخدمها صاحب العمل لكي يتجاهل قوانين العمل في الولايات المتحدة'". وقد تم 
تمرير الرسائل التي كان من المفترض أن تكون خاصة بهم في نهاية المطاف إلى سلطات قانون 
العمل في الولايات المتحدة. الأمر الذي أدى إلى اتخاذ الإجراءات القانونية ضد صاحب 
العمل. إن الرسائل المرسلة من خلال نظم وسائل التواصل الاجتماعي تحمل بعض المخاطر! 


يُنظر أحياناً إلى نظم التواصل الاجتماعي على أنها إحدى الموارد الخاصة بالموارد البشرية. 
وأنها إحدى النشرات غير الرسمية للشركة. ومع ذلكء فإن المؤسسة تواجه العديد من 
المخاطر المتعلقة بنظم وسائل التواصل الاجتماعيء والتي قد تتضمن فقدان السمعة 
وخسارة المكانة المرموقة والتعرض للمساءلة القانونيةء وذلك عندما يقوم الموظفون بإفشاء 
الأسرار ونشر الصور والفيديوهات المتعلقة بالأمور التي يجب أن لا يفعلوها. هناك أيضا 
مخاطر أمنية على الحاسبات الآلية من البرمجيات الخبيثةء وسرقة الهوية. وذلك من خلال 
ما يسمى التصيد الاحتيالي 1115111118م: وخرق خصوصيه البيانات الحساسة التي تم الحديث 
عنها في الفصل العاشر من هذا الكتاب. 

إن المسؤولية عن المخاطر المرتبطة باستخدام الموظف لتطبيقات مثل فيسبوك وتويتر 
وغيرها من وسائل التواصل الاجتماعي تتجاوز حدود إدارة أمن تقنية المعلومات» حيث 
إن المسؤولية الأساسية تقع على عاتق إدارة المؤسسة. حيث يتم تشغيل هذه التطبيقات 
بشكل عام عبر الإنترنت والنظم الخارجية الخاضعة لسيطرة الشركة. 

ترتبط العديد من مخاطر تقنية المعلومات المتعلقة بوسائل التواصل الاجتماعي 
والمخاوف الإدارية بالسلوك الفردي الذي يحدث خارج حدود البنية التحتية للمؤسسة 
ونظم تقنية المعلومات الخاصة بها. في جميع الحالات» فإن نظم وسائل التواصل الاجتماعي 
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تحمل في طياتها قضايا تتعلق بالمحتوى وحرية التعبير. وترتبط هذه الممارسات الخاصة 
بوسائل التواصل الاجتماعي بشكل وثيق بالعديد من القضايا التي وردت في الفصل العشرين 
من هذا الكتاب الذي تحدث عن الحاجة إلى وجود ثقافة أخلاقية في أماكن العمل. وهو 
الفضل الذي تحدث أيضا عن أهمية الرسائل والسياسات القوية للإدارة مثل مدونات 
قواعد السلوك وبيانات المهمة أو الرسالة التي تساعد المؤسسة وأصحاب المصالح فيها على 
التفكير بطريقة صحيحة وإيجابية. في جميع الأحوال» يجب على اللمؤسسة أن تكون على 

علم ببعض المخاطر والمخاوف المتعلقة بوسائل التواصل الاجتماعي التالية: 

٠‏ القضايا المتعلقة بإنتاجية الموظف: رما تميل هذه القضايا بشكل أكبر نحو الجانب 
الإداري من حيث تحديد أهداف الموظفين ومسئولياتهم: وإن كان الموظفون على مختلف 
مستوياتهم يقومون أحياناً بقضاء وقت طويل في إرسال الملاحظات والصور لأصدقائهم 
سواء كانوا من داخل الشركة آم خارجهاء وسواء عبر تويتر أم عبر فيسبوك أو بعض تطبيقات 
وسائل التواصل الاجتماعي الأخرى. ففي بعض النواحيء قد لا يختلف هذا كثيرا عن 
الأشخاص الذين يقضون أوقاتا طويلة على المكالمات الهاتفية الشخصية: إل أنه من الضعب 
القيام بمراقبة وكشف هذا النوع من الأنشطة الخاص بوسائل التواصل الاجتماعي. 

٠‏ نقص الرقابة ا لمفروضة على المحتوى المؤسسي: قد يقوم الموظفون وأصحاب المصلحة 
بشكل مقصود أو غير مقصود بنشر معلومات خاطئة أو غير لائقة على مواقع وسائل 
التواصل الاجتماعي. هذا النوع من المعلومات هكن أن ينقل إلى العديد من الأشخاص 
الآخرين من خلال الطبيعة التتابعبة للعديد من أدوات وسائل التواصل الاجتماعي. 
فبمجرد أن تبدأ المعلومات المغلوطة في النشرء فإنه يكون من الصعب إيقافها. 

٠‏ عدم الامتثال للوائح التنظيمية الخاصة بإدارة السجلات: على الرغم من حقوق التأليف 
والنشر وقواعد حماية البيانات» فإنه من السهل جد بالنسبة لأصحاب المصلحة أن يقوموا 
بنسخ وإرسال الوثائق المحمية عبر أنظمة وسائل التواصل الاجتماعي. وفي حال تم إرسال 
هذه السجلات بشكل غير صحيح أو غير قانوني فإن المؤسسة ستتعرض للمخاطر. 

٠‏ الفيروسات وبرامج التجسس: يوجد هناك العديد من الحوادث ال مسجلة التي تم فيها 
استخدام وسائل التواصل الاجتماعي أو مواقع الشبكات ذات الصلة لنشر البرمجيات 
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الخبيثة كالفيروسات". ومن المؤكد أن نظم التواصل الاجتماعي ليست الوسيلة الوحيدة 
المستخدمة في هذا الصدد. ومع ذلك فإن مواقع الشبكات الاجتماعية على أرض الواقع 
رها لا تشكل تهديدا أكثر من الذي يشكله أي نوع آخر من مواقع شبكة الإنترنت. 

183110591011 مشاكل عرض النطاق الترددي: كانت مسألة عرض النطاق الترددي للبيانات‎ ٠ 
تفوق بكثير أي مسألة أخرى في الأيام الأولى لظهور الاتصالات والإنترنت» فهو مصطلح‎ 
يشير إلى "حجم القناة" أو كمية البيانات المنقولة عبر خطوط الاتصالات. إن إرسال‎ 
الناس لكميات كبيرة من الصور الرقمية أو غيرها من المواد التي تعتبر إلى حد ما كبيرة‎ 
الحجم قد تؤدي إلى اختناق النظام. وعلى الرغم من أن هذا الأمر لا يعد معضلة كبيرة‎ 
بالنسبة لشبكة الإنترنت» فإنه يمكن ممثل هذا النوع من المواد الكبيرة الحجم أن تعيق خط‎ 
الاتصالات «لؤسسة صغيرة ويؤدي إلى انسداده.‎ 

٠‏ القضايا الأمنية للمؤسسة: هناك العديد من الثغرات في هذا المجال. حيث يمكن أن 
يستخدم الجانى مثلاً الهاتف الخليوي للقيام بالتقاط صورة لإحدى الوثائق السرية أو 
المنتجات أو المرافق الموجودة: ويقوم بعد ذلك بكل سهولة ويسر بإرسال هذه المواد التي 
التقطها إلى شخص أو أكثر بواسطة أداة مثل فيسبوك من خلال بضع ضربات أو ضغطات 
سريعة على لوحة المفاتيح. ولذلك فإن هناك حاجة إلى ضوابط مادية وبيانات جيدة 
تخص سياسة التبليغ وبيئة أخلاقية قوية للمؤسسة. 

٠‏ قضايا المسؤولية في وسائل التواصل الاجتماعي: يمكن أن تتحمل ال مؤسسة المسؤولية عن 
الرسائل التي ترسل بواسطة أحد الموظفين خلال الوقت المخصص للعمل في المؤسسة: وذلك 
بالنسبة للمنشورات التي تتم بواسطة موارد تقنية المعلومات المؤسسية. وعلى الرغم من 
أن القانون حقيقة لا يزال غير واضح حتى الآن» فإنه وجد أن الأفراد هم المسئولون عن 
إرسال الرسائل التي تتطلب مزيدا من الحذر إلى مواقح الشبكات الاجتماعية. لذا يجب 
على المؤسسة ووحدات الأعمال توخي الحذر في مثل هذه الحالات» فهي بالتأكيد تشكل 
مخاطر يجب أخذها بالحسبان. 

ولأن استخدامنا لأدوات التواصل الاجتماعي في ازدياد, فإنه لا مكننا سوى أن نتوقع 
استمرار هذا التوجه أو التيار. ولأن معظم أصحاب المصلحة في المؤسسة لديهم أجهزة 


غ56 دليل المسئول التنفيذي لحوكمة تقنية المعلومات 


تأثير حوسبة وسائل التواصل الاجتماعي 


هاتف ذي خاصة: فضلاً عن اتصالات الإنترنت الموجودة في منازلهم: فإن جميع هؤلاء 
الأشخاص تقريباً يستطيعون الوصول إلى المواقع الخاصة بوسائل التواصل الاجتماعي. 
البعض من هؤلاء يقوم باستخدام هذه الأدوات بشكل مكثف» ومن الممكن أن تصبح 
الحدود الفاصلة بين الأنشطة الشخصية والنظم المكتبية ضبابية. وفي حال قامت المؤسسة 
بفرض سياسة منع استخدام وسائل التواصل الاجتماعي أثناء ساعات العملء فإنها بذلك 
تكون وكأنها تنظر إلى الموضوع عبر نظارة وردية. ونحن بشكل عام لا نعمل في المؤسسات 
فقط من الساعة التاسعة صباحا إلى الساعة الخامسة مساء مثلاء بل تحن متخرطون في 
الأنشطة الخاصة بالأعمال أثناء وجودنا في المنزل وأثناء سفرنا كذلك. ومن ثم لا يمكننا في 
مثل هذه الحالة أن نضع عدودا فاصلة. 

كما أن استخدام أدوات التواصل الاجتماعي في أنشطة الأعمال ينمو أيضاً. كما تحدثنا 
منذ قليل عن أداة الاقتراع الخاصة بتطبيق لينكدإنء والتي يمكن اعتبارها نظاما شائع 
الاستخدام في أماكن العمل. وسنرى على نحو متزايد مدى تقارب وترابط الخطوط الفاصلة 
بين استخدام وسائل التواصل الاجتماعي في الأمور الشخصية أولا وبين استخدامها في الأنشطة 
المتعلقة بالأعمال. إن السبيل الوحيد للحد من المخاطر والحصول على فهم أفضل لحوكمة 
تقنية المعلومات الخاصة باستخدام أدوات التواصل الاجتماعي في أماكن العمل هو إيجاد 
سياسات تتعلق بالاستخدام الفعال لهذه الأدوات وتبليغها بصورة جيدة إلى جميع أصحاب 
المصلحة في مكان العمل داخل المؤسسة. 


سياسات وسائل التواصل الاجتماعي: 

تحتاج المنشأة إلى وضع ممارسات تثقيفية توضح ما يجب الأخذ به وما يجب تركة من 
النظم المختلفة لوسائل التواصل الاجتماعي» هذا إلى جانب وضع سياسات محددة خاصة 
باستخدام أصحاب المصالح لتلك الأدوات. ويجب أن تكون السياسات المتعلقة باستخدام 
وسائل التواصل الاجتماعي عبارة عن مجموعة فرعية من سياسات الشركة تماما كمدونات 
قواعد السلوك» وكذلك سياسات الأمن والخصوصية لتقنية المعلومات التي يتم إيصالها 
لجميع الموظفين وأصحاب المصلحة. فلننظر على سبيل المثال إلى ما تم الحديث عنه بمزيد 
من التفصيل قي الفصل العشرين من هذا الكتاب» حيث يتعين على المؤسسة وضع سياسة 
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محددة لوسائل التواصل الاجتماعي لأصحاب المصلحة بشكل عام والتي تحدد سياسات 
الشركة على مستوى عال جداً بأسلوب يسهل فهمه. كما يجب أن يتم تنقيح المدونة 
وتحديثها بانتظام وينبغي أن يُطلب من جميع أصحاب المصلحة بأن يؤكدوا أنهم قد قاموا 
بقراءة المدونة وفهموها ووافقوا على الالتزام بها. إن تنفيذ مثل هذه امدونة لقواعد 
السلوك يعد أمراً هاما بالنسبة للممارسات القوية والفعالة لحوكمة لتقنية المعلومات في 
المؤسسة. الشكل التوضيحي )٤-١١(‏ مثال على السياسة العامة لوسائل التواصل الاجتماعي 
في المؤسسة والتي من شأنها أن تكون مصممة لتنطبق على جميع أصحاب المصلحة الذين 
يستخدمون تطبيقات وسائل التواصل الاجتماعي في المؤسسة» بدءا من الموظفين ووصولا 
إلى الإدارة العلياء ويمكن تطبيق هذه السياسة على جميع التطبيقات الخاصة بوسائل 
التواصل الاجتماعي التي قد تؤثر في ا مؤسسة»ء سواء كان ذلك من خلال إحدى المبادرات أو 
التطبيقات المعتمدة على النظام والقائمة على المؤسسة أم من خلال استخدام أحد الأجهزة 
الشخصية. 


شكل توضيحي )5-5١(‏ 
سياسة وسائل التواصل الاجتماعي في المؤسسة 
تطبق هذه السياسة على جميع أدوات التواصل الاجتماعي. وتستخدم داخل العمل وخارجه: 
بالنسبة لعمليات تشغيل الأعمال في المؤسسة. بالإضافة إلى الإرشادات الأكثر تحديدا التي تم مناقشتها 
أدناه. يجب على أي شخص يستخدم أدوات وسائل التواصل الاجتماعي في الأعمال الشخصية أو 
التجارية ما ياي: 


« أضف قيمة لعملائك. وصناعتك وعملك. 

« اتسم بالاحترام واطهنية واللطف. 

« قدم الرؤيةء والخبرةء والدراسة ذات الصلة. 

ه تواصل أخلاقيا وتوا في دعم أهدافك المهنية. 

وبالإضافة إلى ذلك: يتعين على جميع أصحاب المصلحة ف المؤسسة إبقاء المبادئ التالية ف الاعتبار: 
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فكر قبل أن تنشر: 

ضع ف الاعتبار أن معظم منصات الحوسبة الاجتماعية على الإنترنت مثل الأسواق العامةء ما يتم 
ره هناك يكون مناخ أ ويراة الحعمف غل التضات الاجدراقيق تون هدوة اللخلومات اة 
والشخصية ذائماً غير واضحة. في هذه الأيام التي تتميز بتحويل سياسات الخصوصية والفهرسة القوية 
لمحرك البحث» لا يمكنك أن تكون ذانما على يقين مما يتم مشاركتة أو ما تم الاطلاع عليه أو ما تمت 
أرشفته. لاحظ أن ما تنشره على الإنترنت سوف يكون عام لفترة طويلة جدا. ما قمت بنشره سينعكس 
عليك» لذلك التزم الطريقة التي ترغب في أن تظهر بها أمام الشركة, والأصدقاء, والعائلة: والزملاء 
والعملاء. إذا كنت غر متاكد من أن مختوى معينا ماسب لمشاركته عبر الإنترنت: فلا تتشره. لأن 
تكون آمنا أفضل لك من الاعتذار. 


المسؤولية: 


ت 


آذك ممؤول فوا عن کا ا نس ا کی کان ووک وا کک ووا عل 


شبكة الإنترنت. رجاء تذكر أنك عندما تشارك في وسائل التواصل الاجتماعي» فإنك تتحدث كفرد وليس 
نيابة عن الشركة. عرف نفسك ذائما باستخدام صيغة الإفراد لضمير المتكلم. 

عندما تناقش معلومات تتعلق بالشركة على شبكة الإنترنت» تحل بالشفافية من خلال إعطاء 
اسمك ودورك واذكر أنك تعمل لصالح الشركة. إذا كان لديك موقع فردي يشير إلى الشركة أو له 
تأثير فيهاء فاستخدام إخلاء المسؤولية مثل "إن الآراء الواردة في هذا الموقع تخصني ولا تخص [اسم 
الشركة]." 

أينما يسمح به القانون المعمول به فاعلم أن الشركة تحتفظ بالحق في مراقبة استخدام المنصات 
الاجتماعية واتخاذ الإجراءات المناسبة للحماية ضد إساءة الاستخدام التي يمكن أن تكون ضارة بسمعة 
الشركة. 

أن تقوم بإنشاء حساب للشركة أو أن تصبح الممثل الرسمي الذي يتقاسم المعلومات حول الشركة 
ومجالات عملناء يتطلب موافقة من المستوى المناسب من الإذارة. .هذه الحسابات فقط قد تعرض 
شعار الشركة. 
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السلوك: 

فنعب أن يكون سلوكك على الإتترتت متفقاً مح هدوتة أخلاقات العمل. 

لديك فرصة للمساعدة على إظهار سمعة الشركة على الإنترنت. استخدم خيرتك الواسعة لإثراء 
المناقشات» ساعد في حل المشاكل» وشاركنا الحماس في بيئة عملناء وشجع التعلم ومشاركة الأفكار. 

تذكر ذانما أن النغمة التي تس تخدمها عبر الإنترنت هكن أن تقسر بطرق مختلفة من قبل القراء 
نظرا لعدم وحود تواصل شتشهي أو اختلافات ثقافية. وقد لا يكون بعض المشاركين على دراية 
بالاختصارات والوجوه التعبيرية والرموز الشائعة الأخرى المستخدمة في الاتصال عبر الإنترنت. تذكر 
أيضا أن التعليقات تَنْتَرّع من سياقها غالباء لذلك تمسك والتزم بالحقائق. 

الثقة هي العنصر الرئيسي في بناء علاقات عبر الإنترنت. بناء الثقة عن طريق الحفاظ على لهجة 
محترمة: حتى عندما تختلف مع الآخرين» ومن خلال ردك على التعليقات في الوقت المناسب أو في 
حصنها. إذا كنت تدرك أنك قد أخطات. حاول أن تصحح ذلك على الفور. 

لا تشارك في أي سلوك على الإنترنت من شأنه ألا يكون مقبولا في مكان عملك أو غير قانوني. على 
سبيل ال مثال» لا تدل بتصريحات مهينة أو تستأسد أو ترهب أو تضايق مستخدمين آخرين أو تسبهم 


أو تنشر محتوى يحض على الكراهية أو القذف أو التهديد. أو التمييزء أو الإباحية. 


السرية: 

قم ذائاً بخماية المعلومات السرية وغيرها ص المعلومات المتغلقة بالملكية والخاصة بشركتنا 
وعملاءنا وموردينا. لا تضع أي محتوى على الإنترنت لا ترغب في مشاركته مع صحفي أو عميل أو 
محلل أو منافس. 

تأكد من أن أي إشارة إلى معلومات تجارية وعملاء وموردين لا تنتهك أي التزامات عدم إفصاح. 
رجاء تذكر أيضا التزامات السرية الخاصة بك موجب اتفاقية العمل الخاص بك. 

لا تفصح عن معلومات عن الزملاء أو غيرهم من الأشخاصء أو تسى استخدام بياناتهم الشخصية: 
أو تنشر صورهم دون إذن منهم. 

استخدم دايا الحكمة في التعامل مع المعلومات التي من الممكن أن تكون حساسة. لا تستخدم 
منصات الحوسبة الاجتماعية لتبادل المعلومات ذات الطابع السري للشركة أو العملاء أو الموردين: ما لم 
يتم إيقاف عملية الحصول على مثل هذا النوع من ال معلومات وتم إزالة ا محتوى من المنصة لمستويات 
أمنية مناسبة. ال مواقع العامة ليست اللواقع المناسبة للاتصال الداخلي مع موظفي الشركة الآخرين. 
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تأثير حوسبة وسائل التواصل الاجتماعي 


حقوق الطبع والنشر: 

امتثل للقوانين واللوائح» وعلى الأخص بالقوانين التي تحكم حقوق الملكية الفكريةء متضمنا ذلك 
حقوق الطبع والنشر والعلامات التجارية. يجب ألا تنشر محتوى أو تتخذ أي إجراء يخالف القانون 
أو ينتهك حقوق الشركة أو حقوق الملكية الفكرية لأي طرف ثالث. 


أفكار أخيرة: 

استخدام منصات الحوسبة الاجتماعية وفقا لهذه السياسة يمكن أن يكون أداة اتصال فعالة وقوية 
جدا. كونوا فخورين بما تعملون وتمتعوا بالشعور بالإنجاز في البحث عن أفضل جودة وكفاءة أكبر. 
قبل كل شيء: رجاء استخدم حكمتك وانتبه للآخرين وتحمل عناء الاستماع وإيضاح فكرك بشكل 
مفهموم. 





اعتماداً على مستوى الاستخدام ف المؤسسة» فإنه هكن إطلاق سياسات مماثلة لفيسبوك: 
وغيرها من وسائل التواصل الاجتماعي. وعلى الرغم من أنه يمكن صياغة سياسة عامة 
لكافة تطبيقات وسائل التواصل الاجتماعي للمؤسسة» فإنه يفضل عادة وضع بيانات سياسة 
محددة لكل تطبيق» مثل تويتر وفيسبوك. والفكرة هي إيصال الرسالة لجميع أصحاب 
المصلحة وهي أن استخدامهم لمختلف تطبيقات وسائل التواصل الاجتماعي في أماكن 
العمل يحمل بعض امخاطر والفرص بالنسبة للمؤسسة ولمساراتهم الوظيفية. 

إن تطبيقات وسائل التواصل الاجتماعى تثير بعض القضايا القويه الخاصة بحوكمة 
تقنية المعلومات في المؤسسات هذه الأيام. وعلى الرغم من أننا ركزنا في هذا الفصل 
على تطبيقات فيسبوك وتويتر ولينكدإن التي رجا تكون الأكثر استخداماً هذه الأيام: فإن 
هذالا يضمن أن تبقى تلك التطبيقات هي الأبرز خلال السنوات القليلة القادمة. وفي 
جميع الأحوال؛ تمثل المفاهيم الخاصة بتلك التطبيقات تغيراً تاما في طريقة تطوير ومعالجة 
البيانات والتي من شبه المؤكد أنها لن تتغير. على الرغم من أن كبار المديرين قد ينظرون 
إلى هذه التطبيقات كما لو كانت عبارة عن أدوات لأطفالهم في المنزل أو في المدرسة: أو 
للموظفين الشباب في الكادر الوظيفي» فإنه يجب على كل واحد من كبار المديرين أن يصبح 
لديه ولو على الأقل مستوى فهم بسيط بهذه الأدوات من أجل فهم أفضل لهم والتواصل 
مع الآخرين في المؤّسسة. 
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ملاحظات: 
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غعينات سجل الحوادث» انظر 
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the-workplace/." 
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حوكمة تقنية المعلومات ودور لجنة تدقيق تقنية المعلومات 


تناولت الفصول السابقة العديد من الجوانب والعمليات اللازمة لفهم وتحسين حوكمة 
تقنية المعلومات في المؤسسة. وقد كان جميع ما تناولناه من تعليقات وتدابير مقترحة 
خاصة بحوكمة تقنية المعلومات موجها إلى جميع مؤسسات الأعمال على اختلاف أنواعها 
وأحجامهاء على الرغم من أننا ركزنا أكثر على الشركات الكبيرة المتعددة الجنسيات والوحدات 
والتي تتجاوز غالبا الحدود الدولية. إلا أن بعض هذه الممارسات الخاصة بحوكمة تقنية 
المعلومات قد يكون أيضا مكلفا بالنسبة للمؤسسة الصغيرة: في حين أن البعض الآخر يتطلب 
مساهمات إدارية كبيرة. فعند تنفيذ أي عملية خاصة بحوكمة تقنية المعلومات» ينبغي على 
الإذارة دائما النظر في التكاليف المترتبة على ذلك ومن ثم توازن بينها وبين المنافع العائدة. 

ويختتم هذا الفصل الأخير بالحديث عن دور لجنة التدقيق التابعة طمجلس الإدارةء الذي 
بعد أحفد العتاغر الهاعة هذا بالنسة الشركة ولحوكية #قنية اأعلومات: إتنا ذظ غالا 
إلى لجنة التدقيق فقط من ناحية الدور الذي تلعبه في مهام الإشراف والتدقيق الداخلي 
فضلا عن قيامها بتنسيق أنشطة التدقيق الخارجي. حيث إن لجنة التدقيق هي التي 
تقوم بتحديد نظام أو أسلوب العمل بالنسبة للعديد من الأنشطة الخاصة بحوكمة تقنية 
المعلومات. وسيقوم هذا الفصل بعرض الدور الذي تلعبه لجنة التدقيق من أجل وضع نظام 
أو أسلوب العمل المتبع لمراجعة الأنشطة الخاصة بحوكمة تقنية المعلومات في اللؤسسة. 


لجنة التدقيق التابعة للمؤسسة وحوكمة تقنية المعلومات: 

تدار الشركات العامة من قبل مجالس الإذارة المنتخبين من قبل الملساهمين: والمسؤولة 
عن الأنشطة الرئيسية للإدارة. ومن الممكن أن يكون أعضاء مجلس الإدارة المنتخبين في 
بعض الأحيان جزءا من الكادر الإداريء أو أن يكونوا مديرين مستقلين لا تربطهم بالشركة 
أية علاقات مباشرة. وتعد لجنة التدقيق أحد المكونات الرئيسية في مجلس إدارة الشركة 
فهي المسؤولة عن مراقبة الضوابط الداخلية والتقارير المالية. ونظرا لهذه المسؤولية الرقابية 
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ومتطلبات قانون ساريينز أوكسلي ١‏ («50).: فإنه يجب أن يكون أعضاء لجنة التدقيق 
مديرين مستقلين لا تربطهم أ أي علاقة بإدارة المؤسسة. لا يوجد أي قيود مفروضة على 
حجم اللجنة إلا أن المجلس المكتمل اللكون مق ١۲‏ إلى 15 غضوا تلك غالبا لجنة تدقيق 
مكونة مق 8 ال + أغضاة ومن الممكن أن تقوم لجنة التدقيق بدعوة أعضاء من الإدارة 
أو غيرهم لحضور اجتماعات اللجنة وحتى المشاركة في مداولاتها ونقاشاتها. ومع ذلك لا 
هكن للضيوف الخارجيين أن يكونوا أعضاء يتمتعون بحق التصويت بالكاملء وذلك بموجب 
قواعد قانون ساربينز أوكسلي ×50. إن مجلس إدارة المؤسسة هو الكيان الرسمي الذي 
أعضاء مجلس الإدارة المسؤولية القانونية عن أفعالهم التي يتخذونها حيال أي قضية: ويقوم 
مواد ثابتة في سجل المؤسسة. 


وجا هو واه حا قدا ككون مجالس إذارات اكات مكوقة هما يحرف باللديرين 
الداخليين أو الخارجيين. فالمديرون الداخليون هم الأعضاء المنتظمون في الإدارة والذين 
يقومون أيضا بالخدمة في مجلس الإدارة. مثلء الرؤساء التنفيذيين 5805© والمديرين 
الماليين 0۳05 والذين يلعبون أدوارا مزدوجة من خلال الإدارة التنفيذية لمهام العمل, ثم 
بعد ذلك الإشراف على العمليات التشغيلية للإدارة نفسها من خلال وجودهم في مجلس 
الإدارة. وباعتبارهم من كبار المديرين التنفيذيين في المؤسسة: فإنه يتعين عليهم امتلاك 
معرفة واسعة عن شركتفه إلا أن تلك المعرفة لا قصب دائماً في مصلحة الخارج وهم 
المماهمون والسكهرون الستقلون. الس الذي أدى إلى ظهور انتقادات تصف المديرين 
الداخلين في بعض الأحيان بأنهم كالثعالب التي تحرس أقفاص الدجاج. 

فالمدير الخارجي: أو ما يسمى غالبا بالمدير المستقل: هو الشخض الذي ليس لديه 
أي ارقتاط e‏ بالعمليات التشغيلية اليومية للشركةء ولا يتقاضى أية رواتب ن أو اجو 

من الشركة جراء مشاركته ق اجتماع مجلس الإدارة. يسافر المديرون ال ملستقلون عادة 
إلى المدينة لحضور اجتماعات مجلس الإدارةء إذ إنهم لا ملكون مكاتب دائمة في المؤسسة 
وليسوا جزءا من الكادر الوظيفي الخاص بها. حيث يُنظر إليهم على أنهم في وضع أفضل 
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لاتخاذ القرارات مثل إغلاق أحد المكاتب» ولا ينظر إليهم على أنهم يتصرفون لخدمة 

في السنوات التي سبقت قانون ساربينز أوكسلي :50: كان للعديد من الشركات 
مجالس إذارة مكونة من مسؤولي الشركة والأصدقاء والمقربين من المدير المالي 01:0. 
وكانت المجموعة الأخيرة (المقربون) في بعض الأحيان غير مؤهلة تماما للعمل في هذه 
المناصب في مجلس الإدارةء وكانوا يتصرفون بموجب تعليمات المدير امالي. وق الواقع 
أصبح الوضع في غاية الصعوبة مع سقوط شركة أنرون وإطلاق قانون ساربينز أوكسلي 
×50 بين عامي .7٠07-7٠٠”‏ فقد اكتشفت لجنة الكونجرس الأمريكي التي حققت في 
كارثة شركة أنرون» من بين العديد من الأمور الأخرى: أن المجلس غير مستقل تماماء وأنه 
قد استفاد من "عقود الاستشارات” التي مُنحت له من قبل المدير المالي فضلا عن وجود 
نقص واضح في الفهم الشخصي للمعاملات المالية المعقدة الخاصة بشركة أنرون في ذاك 


38H 


الوقت: 

لقد فرض القانون التشريعي ساربنز أوكسلي ×50 كما مر معنا في الفصل الثاني من 
هذا الكتاب» سلسلة من المتطلبات الخاصة مجلس الإدارةء والتي جاءت بهدف تحسين 
حوكمة الشركات. كان من بين تلك المتطلبات» أن لجنة التدقيق الآن يجب أن تتكون 
فقط من المديرين الخارجيين؛ الأمر الذي منحها استقلالية تامة عن إدارة الشركة وأن 
تكونء أو على الأقل ينبغي» أن تكون مؤلفة من مجموعة مؤهلة ومتخصصة من المديرين 
الخارجيين القادرين على فهم ومراقبة وتنسيق وتقييم بيئة الضوابط الداخلية والأنشطة 
المالية المتعلقة بالمجلس بأكمله. ولي تتمكن لجنة التدقيق من الوفاء مسؤولياتها تجاه 
كل من مجلس الإدارة وأصحاب المصالح والجمهورء فإنها بحاجة إلى إنشاء وإدارة وحدة 
خاصة بالتدقيق الداخلي والتي يجب أن تكون عبارة عن مجموعة مستقلة من الآذان 
والعيون في المؤسسة: وأن تقوم بتقديم التقييمات المتعلقة بالضوابط الداخلية وغيرها من 
الأمور الأخرى. 

ويعتمد ذلك على بنية أو هيكل الشركة كالشركات التي تتعامل بالأوراق المالية والمسجلة 
لدى هيئة الأوراق المالية والبورصة الأمريكية, كما تستطيع الشركات الخاصة الأخرى أيضا 
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الاستفادة من هذه البنية الخاصة بلجنة التدقيق. على سبيل المثال» هناك العديد من اللؤسسات 
غير الربحية أو الخاصة التي تكون كبيرة ها يكفي لتمتلك مجلس إدارة رسمياً ووحدة تدقيق 
داخلي رسمية خاصة بها. وعلى الرغم من عدم وجود نص صريح في كل من قواعد قانون 
ساربنز أوكسلي ×50 وهيئة الأوراق المالية والبورصة الأمريكية يلزم بذلك» فإن هذه المؤسسات 
ستستفيد أيضا من لجنة التدقيق المكونة من مجموعة من المديرين المستقلين. 


تتحمل لجنة التدقيق المسؤولية الكاملة عن مهام التدقيق الداخلي والخارجي للمؤسسة. 
فاللسؤولية الرئيسية للمدققن الخارجيق تجاه مجلس إدارة المؤسسة هي التصديق عاى دقة 
ونزاهة البيانات المالية. وعلى الرغم من استقلالية المدققين الخارجيينء فإن لجنة التدقيق 
تقوم بمراجعة الميزانيات الخاصة بالتدقيق الخارجي والتصديق عليهاء كما تقوم باستلام 
التقارير الصادرة عنهم» وسيكون لها اتصالات مستمرة مع الشريك المسؤول عن عمليه 
التدقيق. وعلى الرغم من أن مكاتب التدقيق الخارجي قد تقوم بخدمة إحدى المؤسسات 
على مدى عدة سنوات,. فإنه يحق للجنة التدقيق القيام بتغيير ال مدققين الخارجيين في حال 
وجود خلافات حول الخدمات والميزانيات» أو غيرها من المسائل. 

إن لجنة التدقيق هي المسؤولة عن التدقيق الداخلي وعن مدققي تقنية المعلومات 
لديهاء والذين يلعبون دورا كبيراً في عملية تقييم الضوابط الداخلية الموضوعة للتحقق من 
مدى موتوقية كل من التقارير الماليه وعمليات تقنيه ا معلومات» وفاعلية وكفاءة العمليات 
التشغيليه»ء ومدى التزام المؤسسة بالقوانين واللوائح المعمول بها. ويقوم المدققون الداخليون 
وأخصائيو تدقيق تقنية المعلومات على وجه الخصوص بتقييم العديد من المخاطر المتعلقة 
بأمن وسلامة تقنية المعلومات وقضايا حوكمة تقنية المعلومات التي تواجه المؤسسة. 

إن الإدارت الخاصة بالتدقيق الداخلي تكون محكومة من خلال الميثاق الذي تمت 
الموافقه عليه من قبل لجنة التدقيق» والذي يحدد آنشطتها وعلاقتها مع لجنة التدقيق في 
المؤسسة. وتتطلب تلك المواثيق عادة بأن تقوم لجنة التدقيق بالتالي: 
٠‏ مراجعة الموارد والخطط والأنشطة» والتوظيفه والهيكل التنظيمي الخاص بوحدة 

التدقيق الداخلي في المؤسسة. وبالنسبة للأنشطة المتعلقة بحوكمة تقنية المعلومات: 

فقد تم إيجاز هذه المجالات في الفصل التاسع عشر من هذا الكتاب. 
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٠‏ مراجعة عمليات تعيين مدير التدقيق 081 وأدائه وتغييره. وهو الموظف المسؤول عن 
التدقيق الداخلي. 
٠‏ مراجعة جميع عمليات التدقيق والتقارير المعدة من قبل وحدة التدقيق الداخلي بجانب 
مراجعة رد الإدارة. 
« مراجعة مدى كفاية التقارير اطالية ونظم الرقابة الداخلية مع كل من الإدارة ومدير 
التدقيق والمحاسبين المستقلين. ويتضمن ذلك نطاق ونتائج برنامج التدقيق الداخليء 
والتعاون المتاح أو القيود (إن وجدت) التي كانت تفرضها الإدارة على سير عمليات 
برنامج التدقيق الداخلي. 
ومع مرور الوقت شكلت هذه المتطلبات جزءا من العلاقة التي تربط ما بين وحدة 
التدقيق الداخلي ولجنة التدقيق لديها. حيث يجب أن يعمل مدير التدقيق عن قرب 
مع لجان التدقيق للتأكد من مدى ملاءمة وكفاية الروابط الفعالة للاتصالات. والنقطة 
الثالثة المذكورة حول تقارير التدقيق تعد خير مثال على ذلك. فقبيل ظهور قواعد قانون 
ساربنز أوكسلي ×50 كانت بعض إدارات التدقيق الداخلي تقوم بتسليم لجان التدقيق 
التابعة لها فقط بعض الملخصات المتعلقة بنتائج تقارير التدقيق الداخليء أو أنها كانت 
تقوم بتسليم نتائج تقارير التدقيق الداخلي التي يراها مدير التدقيق 087 بأنها "هامة". 
أما الآن فبموجب قواعد قانون ساربنز أوكسلي ×50» يجب على التدقيق الداخلي أن يزود 
لجنة التدقيق بجميع تقارير التدقيق وردود الإدارة الداعمة لهاء ويتضمن ذلك أحياناً بعض 
التقارير التي تعتبر فنية إلى حد ما خاصة بتدقيق تقنية ا معلومات التي تحتفظ بها إدارة 
التدقيق الداخلي» والتي جاءت من مراجعي لجنة التدقيق. ۰ 
لا تشارك لجنة التدقيق عادة بالأعمال الإدارية اليومية الخاصة بإدارة التدقيق الداخلي 
ومديرها التنفيذي 0815: ولكنها يجب أن تضمن الجودة المستمرة لإدارة التدقيق الداخلي. 
فعلى سبيل المثال. يجب أن تقوم لجنة التدقيق بمراجعة خطط التدقيق السنوية بعناية 
وأن تقوم بتوجيه الأسئلة المناسبة بشأن النتائج والتوصيات التي جاءت في تقارير التدقيق 
الداخاي. هذا بالإضافة إلى قدرة لجنة التدقيق على تعيين أو فصل مدير التدقيق :041, 
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غير أنه يلزم وجود مستوى من التعاون المستمر في هذا الشأن. إذ لا تتواجد لجنة التدقيق 
في الموقع بشكل يومي لتوفير الإشراف التفصيلي على عملية التدقيق الداخلي ويجب أن 
تعتمد على الإدارة العليا للمؤسسة من أجل الحصول على بعض الدعم التفصيلي. 

لا يستطيع مدير التدقيق أو المدققون الداخليون تجاهل الطلبات الإدارية الملائمة 
بدعوى أنهم مسؤولون فقط عن توجيه تقاريرهم إلى لجنة التدقيق» وبأنهم غير معنيين 
بالمسار الإداري للمؤسسة. وبالمثل. فإنه يجب على إدارة المؤسسة أن تكون واثقة من أن 
وحدة التدقيق الداخلي هي جزء من المؤسسة وليست وحدة خارجية أو غريبة عنها بسبب 
علاقتها مع لجنة التدقيق. 


مسؤوليات لجنة التدقيق تجاه حوكمة تقنية المعلومات: 

يجب أن تقوم لجنة التدقيق بتطوير فهم شامل لمجمل احتياجات التدقيق في 
المؤسسة. ويشتمل هذا التقييم العالي المستوى للاحتياجات على مختلف القضايا الخاصة 
بالرقابة والتقارير المالية» الأمر الذي يسمح للجنة التدقيق بالقيام بتحديد الاحتياجات 
الخاصة بالتدقيق أو تقييم المخاطرء والتي ستنفذ إما بواسطة وحدة التدقيق الداخلي أو 
بواسطة مقدمي خدمات تدقيق آخرين. إن لجنة التدقيق باعتبارها جزءا من هذا الدور 
وباعتبارها ا منسق النهاني لمجمل الجهود المبذولة في عملية التدقيق» هي ا مسؤولة عن 
مراجعة واعتماد الخطط واليزانيات العالية المستوى الخاصة بالتدقيق الداخلي. وعلى 
الرغم من أنه قد يكون لدى إدارة المؤسسة أفكارها الخاصة بأعمال التدقيق والكيفية التي 
يجب أن تنفذ من خلالها تلك الأعمال: وعلى الرغم من المرئيات الخاصة للمدير التنفيذي 
للتدقيق C4۴‏ بخصوص الاحتياجات التي يجب أن تنفذء فإن لجنة التدقيق هي المسؤولة 
فن التضديق على الخطط والوازنات الخاصة بوخدة التدقيق الداخلى. ولا جد من أخذ 
جميع المرئيات أو الآراء المختلفة للأطراف الرئيسية بالاعتبار والعمل على تحقيق التوافق 
والانسجام فيما بينها بشكل مناسب إلا أن لجنة التدقيق هي صاحبة الكلمة الأخيرة 
والفاصلة في هذه المسائل. 

وكما وضحنا في الفصول السابقة: كانت الإدارة العليا ولجنة التدقيق التابعة المجلس 
الإدارة تهتم عادة بقواعد المحاسبة الماليةء وقواعد قانون ساربنز أوكسلي ×50 والقواعد 
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الشاملة لحوكمة الشركات» أكثر من اهتمامها بالمسائل الخاصة بحوكمة تقنية المعلومات. 
ويتم تحديد هذه الأنشطة من خلال الخطة السنوية للتدقيق الداخلي التي يتم إعدادها 
بواسطة وحدة التدقيق الداخلي والموافقة عليها واعتمادها من قبل لجنة التدقيق. 

تعتبر المراجعات التي تقوم بها لجنة التدقيق لجميع خطط التدقيق الداخلي هامة 
وضرورية لتحديد السياسات والخطط المستقبلية على نحو أكثر فاعلية. لذا يجب أن 
تتولى لجنة التدقيق هذا الدور التنسيقي الرفيع المستوىء حتى تتمكن جميع الأطراف 
المعنية (كإدارة المؤسسة: والمدققين الداخليينء والتدقيق الخارجي على حد سواء) من 
تحقيق مستوى فهم ومعرفة أفضل لطبيعة وآلية مجمل خطة التدقيق الداخليء وما مكن 
توقعه من مقدمي خدمات التدقيق. وعلى الرغم من وجود قيود عملية على الكيفية 
أو الطريقة التي يمكن من خلالها إشراك لجنة التدقيق في العملية التفصيلية للتخطيط 
على نحو فعال» فإن بعض هذه المشاركات أعطت قيمة عالية لعملية التخطيط. وقد 
جرت العادة بآن يكون رئيس لجنة التدقيق هو الشخص الأكثر فاعلية في هذه العملية 
الخاصة بمراجعة الخطة. ولكن حتى هذا الشخص يتقيد في عمله هذا مدد زمنية. لذا 
يجب أن تقوم وحدة التدقيق الداخلي بإع داد وتحضير مجموعة كاملة من الوثائق 
التفضيلية المتعلقة بالخطط السنوية: وآن تقوم بتقديمها للجنة التدقيق التي ستقدم 
بدورها خطلظ) تفصيلية للسنة القادمة وعظطا مستقبلية طويلة المدى. كما يجب أن 
تقوم وحدة التدقيق الداخاي ضا بإعداد تقارير موجزة عن أنشطة التدقيق وعمليات 
إعادة التقييم السابقة للمناطق التي قامت بتدقيقها لإعطاء لجنة التدقيق صورة واضحة 
عن المناطق الهامة التي تمت تغطيها في المراجعات السابقة. وعلى الرغم من أنه يجب 
على وحدة التدقيق الداخلي أن تقوم بإعداد تقرير خاص بأنشطتها وإرساله إلى لجنة 
التدقيق بشكل منتظم» فإن هذا التقرير الموجز للنشاط السابق يعطي ممحة عامة عن 
المجالات التي تركز عليها عملية التدقيق. ويس لط الضوء أيضاً على أي ثغرات يحتمل 
ظهورها وقت التدقيق. 

ومن منظور حوكمة تقنية المعلومات» قد تتسبب خطط التدقيق الداخلي اانا في إثارة 
مشاكل لأعضاء لجنة التدقيق في المؤسسة. فغالياً ما يجهل هؤلاء الأشخاص أو المديرون 
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الرفيعو المستوى بعض المسائل المتعلقة بحوكمة تقنية المعلومات التي تم الحديث عنها في 
فصول هذا الكتاب كإدارة معيار أمن البيانات الخاص بصناعة بطاقات الدفع 255 501, 
والذي تحدثنا عنه في الفصل الحادى عشر من هذا الكتاب. لذا يجب على مدير التدقيق» 
وبدعم من الفريق الخاص بتدقيق تقنية المعلومات» أن يقوموا باتخاذ المزيد من الخطوات 
لتثقيف لجنة التدقيق عن سبب تأكدها من أهمية القضايا الأكثر فنية التي تتعلق بتقنية 
المعلومات من متظور الفنوايظ الذاخلة ومحاظر حوكمة فة المعلوهات. 


اجتماعات لجنة التدقيق وقضايا حوكمة تقنية المعلومات: 

قد تكون القضايا والمخاوف المتعلقة بحوكمة تقنية المعلومات غير مألوفة بالنسبة 
لبعض المديرين العاملين في لجان التدقيق» وذلك من خلال بعض القضايا التي تبدو في 
بعض الأحيان غريبة بالنسبة إليهم. ويعتاد المديرون التنفيذيون العاملون في لجنة التدقيق 
غالبا على التعامل مع عدد محدود من القضايا المتعلقة بحوكمة تقنية المعلومات حتى 
أصبحت مألوفة بالنسبة لهم. مثل أهمية الخطط الفعالة لاستمرارية تقنية المعلومات» 
والمسؤوليات القانونية ال محتملة الناجمة عن قضايا حوسبة الشبكة الاجتماعية: أو المخاطر 
المتعلقة بفيروسات البرمجيات. وقد تحدثت العديد من منشورات الأعمال الموجهة 
للمديرين التنفيذيين في لجنة التدقيق عن أنواع المخاطر وقضايا حوكمة تقنية المعلومات 
المتعلقة بها. ومع ذلك» فإنه يجب على كل من الإدارة العليا ومدير التدقيق ووحدة تدقيق 
تقنية المعلومات» أن يقوموا بمحاولة إيصال مخاوفهم المتعلقة بالقضايا الأكثر تقنية وقضايا 
الحوكمة المرتبطة بها إلى أعضاء لجنة التدقيق. 

تعد خطط مراجعة تدقيقات حوكمة تقنية المعلومات والمخاوف المتعلقة بالمخاطر 
چوا من الخطط الإجمالية لعمليات التدقيق الداخليء لذا يجب أن يكون هناك اتصال 
مفتوح بين مدققي تقنية المعلومات ومديريهم التنفيذيين فيما يخص تلك القضايا المحددة 
في حوكمة تقنية ال معلومات. ومع ذلك فإن إرسال الخطابات إلى لجنة التدقيق تعتبر 
بعض الأحيان مشكلة كيرة. وكما تحدثنا شانقا فإن أعضاء لجنة التدقيق مشغولون تماما 
أكثر بالقضايا التي تتعلق بالتقارير المالية والالتزام بقانون ساربنز أوكسلي ×50 وغيرها من 
قضايا المخاطر الأخرىء ولا يركز العديد منهم على قضايا التدقيق الداخلي المرتبطة بحوكمة 
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تقنية المعلومات بشكل منتظم. وبالاستعانة مدير التدقيق» تحتاج عملية تدقيق تقنيه 
المعلومات إلى أن تصل إلى أعضاء لجنة التدقيق لتطلعهم على أهمية القضايا ا متعلقة 
بالضوابط الداخلية لحوكمة تقنية المعلومات ومدى تطورها. 

وقد يكون من المجدي أو من الأهمية بمكان بالنسبة للعديد من المؤسسات أن تقوم 
بجدولة اجتماعات توجيهية ربع سنوية (كل ثلاثة أشهر) مع لجنة التدقيق لإطلاعهم على 
المخاطر والمستجدات المتعلقة بحوكمة تقنية المعلومات. وممكن استغلال هذه الاجتماعات 
لتثقيف أعضاء لجنة التدقيق عن قضايا بيئة حوكمة تقنية ا لمعلومات في المؤسسة وغيرها من 
القضايا المتعلقة بالمخاطر. ويمكن أحيانا تنفيذ هذا النوع من الاجتماعات بالاشتراك مع ا مدير 
التنفيذي للمعلومات في المؤسسة:. لكن في كثير من الأحيان نرى أنه من الأفضل أن يتم قيادة 
الجلسة ف المقام الأول من قبل مدير التدقيق ووحدة تدقيق تقنية ا لمعلومات في المؤسسة. 

إن المسؤولية العظمى التي تقع على عاتق لجنة التدقيق هي القيام بمراجعة النتائج 
الهامة لعميات التدقيق التي تصل إليها عن طريق المدققين الداخليين والخارجيين والإدارة 
وغيرهم» وأن تقوم باتخاذ التدابير المناسبة حيالها. ومع أن لجنة التدقيق تتحمل المسؤولية 
عن كل هذه ال مجالات» إلا أن تركيزنا هنا ينصب على الحاجة إلى لجنة تدقيق تقوم بعمليات 
التدقيق الداخلي وتدقيق تقنية المعلومات على وجه الخصوصء وذلك لراجعة وفهم جميع 
النتائج والقضايا المتعلقة بحوكمة تقنية المعلومات التي تصل لأعضاء اللجنة واتخاذ التدابير 
المناسبة المنتظمة والفورية. 

إن الرد على النتائج الهامة لعملية التدقيق التي تم إيصالها إلى لجنة التدقيق يتطلب 
مزيجا من الفهم. والكفاءةء والتعاون من قبل جميع الأطراف الرئيسية المعنية» وهي 
التدقيق الداخليء والإدارة: والمدققين الخارجيينء ولجنة التدقيق نفسها. ويصبح بعد ذلك 
مستوى الرفاهية ف المؤسسة هو المعبار الحقيقي الذي نحكم من خلاله على جميع خدمات 
التدقيق الداخلي» على عكس العديد من المرئيات المحلية التي ترى احتمالية تعارض مصالح 
كل من الإدارة ولجنة التدقيق. كما يجب على إدارة تقنية المعلومات» في حدود مسؤوليتهاء 
أن تعمل بجد بتطبيق التدابير التحسينية المستمرة للحوكمة لتقييم ما إذا كانت البنود 
المناسبة للإجراء التصحيحي في مكانها الصحيح. 
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الفصل الثاني والعشرون 


لقد تحدث هذا الفصل والفصول السابقة من هذا الكتاب عن مجموعة واسعة من 
القضايا الخاصة بحوكمة تقنية المعلومات التي تؤثر في مؤسسات الأعمال. وعلى الرغم من 
أن لجنة التدقيق هي المسؤولة في نهاية المطاف عن تقييم التقدم والأنشطة المتعلقة بهذه 
الأمورء فإنه يجب على الإدارة العليا المسؤولة عن حوكمة تقنية المعلومات في المؤسسة أن 
تحدد ما إذا كان قد تم تثبيت ووضع العمليات الم مناسبةء وما إذا كانت تلك العمليات تعمل 
بالشكل الصحيح. إن النظام الجيد لضوابط وعمليات حوكمة تقنية ا معلومات سوف يسهم 
في نجاح المؤسسة بشكل عام. 


نبذة عن المؤلف: 

روبرت ر. مولر» حاصل على شهادات 24© و 0154© و 01557 و2112) وهو متخصص 
في التدقيق الداخلي ونظم الرقابة الداخلية وإدارة المشاريع؛ ولديه فهم جيد لحوكمة 
الشركات ونظم المعلومات وإدارة المخاطر. تمتد خبرته لأكثر من ٤٠١‏ عاما في إدارة وحدات 
التدقيق الداخلي وإدارة مجموعة واسعة من مشاريع تقنية المعلومات وغيرها من المشاريع 
من خلال نظم الرقابة الداخلية والحوكمة. عمل مديراً وطنياً لتدقيق تقنية ا معلومات 
لشركة جرانت تورنتون (11101126011 6۲۵۸۲)ء كما كان مدير التدقيق الداخاي لشركة سيرز 
روبوك Roebuck)‏ 56215), حيث كان يرفع تقاريرة للجنة التدقيق وترأس فريقا لإعادة 
هيكلة عمليات الرقابة الداخلية للمؤسسة وكان أول من أنشأ إدارة أخلاقيات شركتهم. يعد 
الكاتب مؤلفا ومتحدثاً مشهوراء فهو يقدم لقارئيه رؤى ثاقبة لعديد من قضايا الأعمال 
ومخاوفها التي تؤثر في عمليات الحوكمة والمخاطر والامتثال في المؤسسة. 
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اقتياس جزء من هذا الكتاب أو إعادة طبعه بأية صورة دون موافقة 


كتابية من المعهد إلا في حالات الاقتباس القصير بغرض النقد 
والتحليل: مع وحوب ذكر المصدر. 





تم التصميم والإخراج الفني والطباعة في 
الإدارة العامة للطباعة والنشر بمعهد الإدارة العامة - ١٤٤٠ه_‏ 





يزداد الاهتمام بالحوكمة من قبل جميع الشركات على اختلاف 
أحجامها وأنواعها. سواء كانت مؤسسات قطاع عام لا تهدف للربح أم 
كيانات خاصة. وذلك في ظل الظروف الاقتصادية الدائمة التغير التي 
يبشسيدها عالم اليوم. وتنكون مقاهيم حوكمة المؤسسات من سلسلة 
من مجالات واسعة تغطي جميع أنشطة المؤسسة. والتي يتطلب 
تطبيقها عددا من الإرشادات والبرامج لضمان نزاهة الإجراءات الإدارية 
وحماية المؤسسة من الممارسات الخالفة والاحتيالية. ومن الطبيعي أن 
تاج الحوكمة المؤسسية الفعالة إلى مهارات إدارية قوية لاتخاذ قرارات 
مهمة. كما ختاج احتيلجا كبيرا الى نظم وعمليات تقنية العلومات 
على وجه الخصوص. ومثل هذا النمجال الهم حوكمة تقنية المعلومات. 
وهو الموضوع الشامل لهذا الدليل التنفيذي. 

يتناول هذا الكتاب مفهوم حوكمة تقنية المعلومات. الذي يعد 
جزءا من مفاهيم حوكمة المؤسسات. فهو يهدف الى تقد معلومات 
أساسية عن القضايا المتعلقة بحوكمة تقنية المعلومات وقد م 


E‏ الكتاب الى دستة أجزاء رئيسية يتناول کل جرع منها 2 تسن 
القضايا التي تخص حوكمة تقنية المعلومات. 


إن الهدف العام من هذا الكتاب يتمتل في مساعدة كبار مديري 
اللؤسسات على فوم أهمية قضايا حوكمة جقنية العلومات فَهما 
أفضل وتطبيقها في مؤسساتهم. من خلال تزويدهم بالمعايير وأطر 
العمل العالمية اللازمة للوصول إلى نظم وعمليات أقوى لكل من تقنية 
المعلومات والمؤسسة بأكملها. 
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000 وإخراج وظباعة الؤدارة العامة للطباعة والنشر- ديد الادارة العامة ٤٤١‏ ا شے. 


